手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

结合CVE-2019-1040漏洞的两种域提权利用深度分析

来源:本站整理 作者:佚名 时间:2019-07-03 TAG: 我要投稿

2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。
通过这种攻击使得攻击者在仅有一个普通域账号的情况下可以远程控制 Windows 域内的任?#20301;?#22120;,包括域控服务器。
 
0x01 漏洞利用
攻击方式一:Exchange
验证环境:
角色
系统版本
计算机名
IP地址

Attacker
Ubuntu Server 18.04
ubuntu
192.168.123.69
DC
Windows Server 2012 R2
topsec-dc
192.168.123.150
test.local
Exchange
Windows Server 2012 R2
topsec
192.168.123.143
test.local
验证过程:
① 环境搭建
安装配置域控制器
安装配置Exchange Server,参考[1]
在域中新建一个用于测试的账户test
②执行ntlmrelayx.py脚本进行NTLM中继攻击,设置SMB服务器并将认证凭据中继到LDAP协议。其中–remove-mic选项用于清除MIC标志,–escalate-user用于提升指定用户权限。

③ 执行printerbug.py脚本,触发SpoolService的bug。

④ SpoolService的bug导致Exchange服务器回连到ntlmrelayx.py,即将认证信息发送到ntlmrelayx.py。可以在下图中看到认证用户是TEST\TOPSEC$。

接着ntlmrelayx.py开始执行LDAP攻击,加上-debug选项后可以看到更详细的信息。
首先,通过遍历验证中继帐户所在用户组及权限,发现当前账户可以创建用户、可以修改test.local域的ACL,因为域中的Exchange Windows Permissions用户组被允许修改ACL,如下图所示:

该用户组下的成员正?#20405;?#32487;的计算机账户TOPSEC

因此脚本会首选修改ACL来提权,因为这相比创建用户的方式更隐秘一些。具体方式是通过LDAP修改域的安全描述符(Security Descriptor),可以在下面的数据包中看到ACL中每一条具体的访问控制条目(ACE,Access Control Entries):

⑤ 完成ACL的修改后,test就可以通过secretsdump.py的DCSync功能dump出所有密码哈希值:

攻击方式二:Kerberos委派
验证环境:
角色
系统版本
计算机名
IP地址

Attacker
Ubuntu Server 18.04
ubuntu
192.168.123.69
DC
Windows Server 2012 R2
topsec-dc
192.168.123.212
test.local
SDC
Windows Server 2012 R2
topsec
192.168.123.62
test.local
验证过程:
① 环境搭建
安装配置域控制器,同时开启LDAPS支持,因为该攻击方式需要添加新的计算机账户,必须在LDAPS进行。开启方法参考[2]
安装配置辅助域控制器,参考[3]
在域中新建一个用于测试的账户topsec,一个域管理员admin
② 和攻击方式一相同,执行ntlmrelayx.py本,使用–delegate-access选项,delegate-access选项将中继计算机帐户(这里即辅助域控制器)的访问权限委托给attacker。

③ attacker对辅助域控制器(SDC)执行printerbug.py脚本

printerbug.py脚本执行成功后,将触发辅助域控制器(SDC)回连Attacker主机,回连使用的认证用户是辅助域控制器(SDC)本地计算机账户TEST/TOPSEC$。
ntlmrelayx.py通过ldaps将该用户账户中继到域控服务器(DC),因为这种攻击方式下所冒用的身份TEST/TOPSEC$并不在Exchange Windows Permissions组内,不具?#34892;?#25913;ACL权限,但是可以通过此身份在DC上添加一个新计算机账户(下图中EJETBTTB$), 并修改其约束委派授权,授予它对受害计算机(辅助域控制器)的委派权限。


④使用getSP.py脚本,通过-impersonate参数模拟用户admin请求其票证,保存为ccache,admin用户为Domain Admins组的成?#20445;?#20855;有对辅助域控制器(SDC)的管理与访问权限。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        m电子有你的校园 使命召唤ol美杜莎 春假时光投注 福彩开奖结果 安卓捕鱼大师变态版 北京麻将技巧 部落冲突wp系统 电竞俱乐部招人 森林之王怎么玩 排列三走势图带连线