可直接拿域控MS14-068用戶在向 Kerberos 密鑰分發中心(KDC)申請TGT(由票據授權服務產生的身份憑證)時,可以偽造自己的 Kerberos 票據
漏洞效果:
將任意域用戶提升到域管權限
1.小於2012R2的域控 沒有打MS14-068的補丁(KB3011780)在《Kerberos認證及過程中產生的攻擊》一文中有詳細講這可以看https://cloud.tencent.com/developer/article/1760132NetLogon特權提升漏洞(CVE-2020-1472)是一個windows域控中嚴重的遠程權限提升漏洞。Netlogon使用的AES認證算法中的vi向量默認為0,導致攻擊者可以繞過認證,同時其設置域控密碼的遠程接口也使用了該函數,導致這樣我們就可以導域管hash,最後再還原域控機器用戶的密碼Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2012Windows Server 2012 (Server Core installation)Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)Windows Server 2016Windows Server 2016 (Server Core installation)Windows Server 2019Windows Server 2019 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)準備工具:Impacket工具包:https://github.com/SecureAuthCorp/impacket.gitpoc:https://github.com/SecuraBV/CVE-2020-1472.gitexp:https://github.com/dirkjanm/CVE-2020-1472exp:https://github.com/risksense/zerologonhttps://cloud.tencent.com/developer/article/1780108https://cloud.tencent.com/developer/article/1837483CVE-2021-42287&42278
Windows域服務權限提升漏洞(CVE-2021-42287, CVE-2021-42278)是由於Active Directory 域服務沒有進行適當的安全限制,導致可繞過安全限制進行權限提升。攻擊者可利用該漏洞造成將域內的普通用戶權限提升到域管理員權限Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows Server 2012 (Server Core installation)Windows Server 2012Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows Server 2016 (Server Core installation)Windows Server 2016Windows Server, version 20H2 (Server Core Installation)Windows Server, version 2004 (Server Core installation)Windows Server 2022 (Server Core installation)Windows Server 2022Windows Server 2019 (Server Core installation)Windows Server 2019(3)DC未打補丁KB5008380或KB5008602https://github.com/WazeHell/sam-the-adminhttps://github.com/Ridter/noPachttps://blog.csdn.net/FHLZLHQ/article/details/121964692CVE-2021-1675/CVE-2021-34527PrintNightmare 此漏洞一開始為CVE-2021-1675,隨後微軟把此漏洞分配給了CVE-2021-34527,並提到了兩個漏洞很像,但是攻擊向量是不同的。Print Spooler是Windows系統中管理打印相關事務的服務,用於管理所有本地和網絡打印隊列並控制所有打印工作。Windows系統默認開啟 Print Spooler 服務,普通用戶可以利用此漏洞提升至SYSTEM管理權限。未經身份驗證的遠程攻擊者可利用該漏洞以SYSTEM權限在域控制器上執行任意代碼,從而獲得整個域的控制權Windows Server 2012 R2 (Server Core installation)Windows Server 2012 R2Windows Server 2012 (Server Core installation)Windows Server 2012Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)Windows Server 2008 R2 for x64-based Systems Service Pack 1Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)Windows Server 2008 for x64-based Systems Service Pack 2Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)Windows Server 2008 for 32-bit Systems Service Pack 2Windows RT 8.1Windows 8.1 for x64-based systemsWindows 8.1 for 32-bit systemsWindows 7 for x64-based Systems Service Pack 1Windows 7 for 32-bit Systems Service Pack 1Windows Server 2016 (Server Core installation)Windows Server 2016Windows 10 Version 1607 for x64-based SystemsWindows 10 Version 1607 for 32-bit SystemsWindows 10 for x64-based SystemsWindows 10 for 32-bit SystemsWindows Server, version 20H2 (Server Core Installation)Windows 10 Version 20H2 for ARM64-based SystemsWindows 10 Version 20H2 for 32-bit SystemsWindows 10 Version 20H2 for x64-based SystemsWindows Server, version 2004 (Server Core installation)Windows 10 Version 2004 for x64-based SystemsWindows 10 Version 2004 for ARM64-based SystemsWindows 10 Version 2004 for 32-bit SystemsWindows 10 Version 21H1 for 32-bit SystemsWindows 10 Version 21H1 for ARM64-based SystemsWindows 10 Version 21H1 for x64-based SystemsWindows 10 Version 1909 for ARM64-based SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for 32-bit SystemsWindows Server 2019 (Server Core installation)Windows Server 2019Windows 10 Version 1809 for ARM64-based SystemsWindows 10 Version 1809 for x64-based SystemsWindows 10 Version 1809 for 32-bit Systems域環境下,直接攻擊域控制器可以獲取域控的SYSTEM權限,執行任意代碼;可用於持久化的操作,得到域控後,在有共享目錄、能訪問到域控的情況下,遠程的加載共享目錄下的DLL。創建的smb服務允許匿名訪問,即目標可以直接獲取到文件。https://github.com/cube0x0/CVE-2021-1675https://github.com/cube0x0/impacket https://github.com/3gstudent/Invoke-BuildAnonymousSMBServerhttps://bewhale.github.io/posts/29501.htmlhttps://mp.weixin.qq.com/s/1sR0wTyJFf5UnuPjtJ-DWwCVE-2019-1040
2019年6月,Microsoft發布了一條安全更新。該更新針對CVE-2019-1040漏洞進行修復。此次漏洞,攻擊者可以通過中間人攻擊,繞過NTLM MIC(消息完整性檢查)保護,將身份驗證流量中繼到目標服務器。通過這種攻擊使得攻擊者在僅有一個普通域賬號的情況下可以遠程控制 Windows 域內的任何機器,包括域控服務器。Windows 7 sp1 至Windows 10 1903Windows Server 2008 至Windows Server 2019對於特定環境, CVE-2019-1040漏洞的攻擊鏈目前已經確定的兩種攻擊途徑:1、攻擊域Exchange Server (下面以這種途徑來描述)2、攻擊域AD Server(結合基於資源的約束委派)A、Exchange服務器可以是任何版本(包括為PrivExchange修補的版本)。唯一的要求是,在以共享權限或RBAC模式安裝,Exchange默認具有高權限。B、域內任意賬戶。(由於能產生SpoolService錯誤的唯一要求是任何經過身份驗證的域內帳戶) C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷,故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標誌。D、構造請求使Exchange Server向攻擊者進行身份驗證,並通過LDAP將該身份驗證中繼到域控制器,即可使用中繼受害者的權限在Active Directory中執行操作。比如為攻擊者帳戶授予DCSync權限。E、如果在可信但完全不同的AD林中有用戶,同樣可以在域中執行完全相同的攻擊。(因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接)1、使用域內任意帳戶,通過SMB連接到被攻擊ExchangeServer,並指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。2、中繼服務器通過SMB回連攻擊者主機,然後利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據後的SMB請求據包中繼到LDAP。3、使用中繼的LDAP身份驗證,此時Exchange Server可以為攻擊者帳戶授予DCSync權限。4、攻擊者帳戶使用DCSync轉儲AD域中的所有域用戶密碼哈希值(包含域管理員的hash,此時已拿下整個域)。https://github.com/SecureAuthCorp/impackethttps://github.com/dirkjanm/krbrelayxhttps://github.com/Ridter/CVE-2019-1040https://github.com/Ridter/CVE-2019-1040-dcpwn同一網段內:https://www.freebuf.com/vuls/274091.html隧道下:https://zhuanlan.zhihu.com/p/142080911CVE-2019-1040+RBCD(基於資源的約束性委派)+PetitPatomhttps://mp.weixin.qq.com/s/GdmnlsKJJXhElA4GuwxTKQhttps://www.anquanke.com/post/id/193149https://www.anquanke.com/post/id/193493https://www.anquanke.com/post/id/194069https://www.anquanke.com/post/id/194514ADCS漏洞--ESC8(PetitPotam)(ADCS relay)
ESC8是一個http的ntlm relay,原因在於ADCS的認證中支持NTLM認證1.未打adcs的補丁 2.有兩台域控 3.有adcs服務https://blog.csdn.net/qq_43645782/article/details/119322322https://forum.butian.net/share/1583漏洞影響: 允許低權限用戶在安裝了 Active Directory 證書服務 (AD CS) 服務器角色的默認 Active Directory 環境中將權限提升到域管理員漏洞組件:活動目錄證書服務(Active Directory Certificate Services,AD CS)漏洞簡述:通過構造機器賬戶並篡改dNSHostName屬性,在證書申請時AD CS將dNSHostName屬性嵌入證書中,進而機器賬戶獲得高權限的域控身份。Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2Windows Server 2008,2012,2016,2019,2022CVE-2022-26923/CVE-2022-26931漏洞與2021年CVE-2021-42278/CVE-2021-42287sAMAccountName spoofing漏洞類似,均通過利用偽造域控制器名稱身份來進行相關的提權操作。它的利用先決條件為:該提權漏洞適用於所有的Windows服務器活動目錄版本,包含目前位於微軟產品支持範圍內的Windows Server 2012 R2到Windows Server 2022,以及超出產品支持範圍的舊Windows服務器版本。入侵者至少控制一個活動目錄用戶賬戶,該用戶賬戶對於活動目錄中至少一個計算機賬戶具有「Validated write to DNS host name」權限。默認情況下,單個活動目錄普通域用戶可以加入或創建(包含創建空賬戶)10個計算機賬戶到活動目錄中,並對自己所加入/創建的計算機賬戶具有CREATOR OWNER管理權限(包含「Validated write to DNShost name」權限)。因此該權限較為容易獲得。在活動目錄內部部署有企業證書服務,並允許上述被控制的計算機賬戶申請計算機身份驗證證書。企業證書服務是活動目錄中廣泛部署的一種相關基礎服務,並且默認情況下,與活動目錄集成的企業證書服務默認即允許域內計算機申請計算機身份驗證證書。https://forum.butian.net/share/1578https://forum.butian.net/share/1583Exchange相關,可控制Exchange服務器
Exchange在域內有着重要的地位,一般來說,拿到Exchange服務器的權限,基本等同於拿到域管的權限。拿到Exchange服務器,有很大概率就是域管直接登錄的。或者域管曾經登錄過。拿到Exchange服務器權限的時候,可以嘗試直接dir下域控的C盤,看有沒有權限。如果沒有權限,再嘗試使用mimikatz抓一波密碼,很大概率可以直接抓到域管或者高權限用戶。而且就算是高版本的server,在Exchange上也能抓到明文密碼。該漏洞利用了 Exchange 服務器的 SSRF 和高權限的請求,導致擁有合法郵箱憑證的用戶可以被提升至域管權限 Exchange Server 2010 Exchange Server 2013 Exchange Server 2016Exchange 默認配置下,攻擊者擁有合法的郵箱用戶憑證,同時,該漏洞利用是通過 NTLM Relay的方式進行提權,因此攻擊者需要已經在內網環境中取得可用主機。首先,Exchange 允許任意用戶(只要是通過了認證的)通過 EWS 接口來創建一個推送訂閱(Push Subscription),並可以指定任意 URL 作為通知推送的目的地;其次,通知被訂閱推送後,當觸發推送時,Exchange 使用了 CredentialCache 類的 DefaultCredentials 屬性,由於 EWS 以 SYSTEM 權限運行,當使用 DefaultCredentials 時發出的HTTP 請求將使用該權限發起 NTLM 認證;在 EWS 請求中,通過在 Header 中使用 SerializedSecurityContext,指定 SID 可以實現身份偽裝,從而以指定用戶身份進行 EWS 調用操作。也就是說【我們可以控制Exchange服務器向我們發起HTTP 協議的NTLM 請求,這樣我們就能拿到Exchange機器用戶的 Net-Ntlm Hash】由於該漏洞利用涉及 NTLM 的重放攻擊,一種很容易想到的思路就是將該憑證重放到域控機器。由於重放的 NTLM 憑證來自 Exchange 服務器的機器用戶權限,根據Relay To LDAP一節的描述,我們知道Exchange機器用戶具有write-acl權限,可以給任意用戶提權,賦予Dcsync的權限,從而dump出所有密碼哈希值。我們Relay到的服務端是Ldap,在前面【ldap簽名】一節提到,Ldap服務器的默認策略是協商簽名。是否簽名是由客戶端決定的。客戶端分情況,如果是smb協議的話,默認要求籤名的,如果是webadv或者http協議,是不要求籤名的在這個漏洞裡面發起的請求是http協議,這也就意味着我們什麼都不用做,在這個漏洞中並不要求籤名。https://github.com/Ridter/Exchange2domain#也可以使用 ntlmrelayx.py+privexchange.py+secretdump.pyhttps://github.com/dirkjanm/privexchangehttps://github.com/SecureAuthCorp/impackethttps://www.jianshu.com/p/e081082cbc73CVE-2020-0688 (RCE)
漏洞描述:當攻擊者通過各種手段獲得一個可以訪問Exchange Control Panel (ECP)組件的用戶賬號密碼,就可以在被攻擊的exchange上執行任意代碼,直接獲取服務器權限。利用條件:Exchange Server 2010 SP3/2013/2016/2019,普通賬號。https://github.com/zcgonvh/CVE-2020-0688https://github.com/random-robbie/cve-2020-0688https://www.anquanke.com/post/id/226543#h3-13漏洞描述:遠程攻擊者通過構造特殊的cmdlet參數,繞過身份驗證利用改漏洞可造成任意遠程命令執行。https://github.com/Airboi/CVE-2020-17144-EXPhttps://github.com/zcgonvh/CVE-2020-17144CVE-2020-17144 <target> <user> <pass>CVE-2020-16875 (RCE)
漏洞描述:遠程攻擊者通過構造特殊的cmdlet參數,可造成任意命令執行。Exchange Server 2016 CU17Exchange Server 2016 CU16(已測)利用條件:Exchange Server 2016/2019,普通賬號。https://srcincite.io/pocs/cve-2020-16875.py.txt復現:https://cloud.tencent.com/developer/article/1704777CVE-2021-26855/CVE-2021-27065(getshell)(SSRF+任意文件寫入)ExchangeProxyLogon遠程代碼執行漏洞CVE-2021-26855與CVE-2021-27065是微軟在2021年3月2日發布的高危漏洞公告。這套組合拳被稱為ProxyLogon,可直接獲取目標郵件服務器主機權限。CVE-2021-26855 SSRF 漏洞 ,該漏洞是Exchange中的服務端請求偽造漏洞(SSRF),利用此漏洞的攻擊者能夠發送任意HTTP請求並繞過Exchange Server身份驗證,遠程未授權的攻擊者可以利用該漏洞以進行內網探測,並可以用於竊取用戶郵箱的全部內容。CVE-2021-27065 任意文件寫入漏洞,該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證,利用此漏洞可以將文件寫入服務器上的任何路徑。並可以結合利用CVE-2021-26855 SSRF漏洞可繞過權限認證進行文件寫入。Exchange Server 2019 < 15.02.0792.010Exchange Server 2019 < 15.02.0721.013Exchange Server 2016 < 15.01.2106.013Exchange Server 2013 < 15.00.1497.012通過ssrf漏洞讀取到郵箱用戶的SID——>通過有效SID結合任意文件寫入漏洞上傳以.aspx結尾的文件,在其中插入一句話木馬——>造成交互式shell。該漏洞不同於以往的 exchange 漏洞,此漏洞並不需要一個可登錄的用戶身份,可以在未授權的情況下獲取內部用戶資源,配合 CVE-2021-27065 可以實現遠程命令執行。目標 exchange 服務器必須為負載均衡服務器,即同時使用兩台及以上服務器目標郵箱地址,注意,該地址需要為域內郵件地址而非郵箱地址,二者存在差異攻擊者還必須標識內部Exchange服務器的完全限定域名(FQDN)以上四項中,FQDN 可以通過 ntlm type2 消息抓取;郵件地址可以直接枚舉。利用CVE-2021-26855 SSRF漏洞枚舉郵箱:(工具:https://github.com/charlottelatest/CVE-2021-26855)因為我們通過nmap獲取了域名。user.txt裡面為我們加入的郵箱名字典go run CVE-2021-26855.go -h 192.168.110.152 -U user.txthttps://github.com/hausec/ProxyLogon (一鍵利用)https://github.com/charlottelatest/CVE-2021-26855 (k)https://github.com/herwonowr/exprologhttps://blog.csdn.net/qq_44159028/article/details/123825115https://www.anquanke.com/post/id/259902CVE-2021-34473 (RCE) (SSRF)攻擊者利用該漏洞可繞過相關權限驗證,進而配合其他漏洞可執行任意代碼,控制Microsoft Exchange Server。CVE-2021-34473 Microsoft Exchange ACL繞過漏洞CVE-2021-34523 Microsoft Exchange權限提升漏洞CVE-2021-31207 Microsoft Exchange授權任意文件寫入漏洞微軟官方於 2021年4月已發布相關補丁,2021年7月發布漏洞通告,可前往微軟官方下載相應補丁進行更新:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473Microsoft Exchange Server 2010Microsoft Exchange Server 2013Microsoft Exchange Server 2016Microsoft Exchange Server 2019https://github.com/ktecv2000/ProxyShellhttps://github.com/Ridter/proxyshell_payloadhttps://github.com/dmaasland/proxyshell-pochttps://www.cnblogs.com/colin-B/p/15783751.htmlhttps://blog.csdn.net/qq_40989258/article/details/119750829CVE-2022-41028(RCE)
Microsoft Exchange Server 存在遠程代碼執行漏洞,經過身份驗證的攻擊者可利用此漏洞在目標系統上執行任意代碼。
作者:HackingCost,文章轉載於github
留言列表