0. 基础知识 在 Windows Server 2008 R2 之前，系统默认情况下会缓存 WDigest 凭据。在启用 WDigest 的情况下，用户进行交互式身份验证的域名、用户名和明文密码等信息会存储在 LSA 进程内存中，其中明文密码经过 WDigest 模块调用后，会对其使用对称加密算法进行加密。 类似于上一节中的 LogonSessionList 全局变量，在 wdiges...

0. 基础知识 在交互式身份验证中，LSA 会调用身份验证包来确定是否允许用户登录。MSV1_0 是随 Microsoft Windows 操作系统一起安装的身份验证包，用于执行 NTLM 身份验证。它接受用户名和密码哈希，并在安全帐户管理器数据库（SAM）中查找用户名和哈希密码组合，如果登录数据与存储的凭据匹配，身份验证包允许登录成功。成功验证安全主体凭据后，MSV1_0 身份验证包会为...

在过去一段时间中，我一直试图探索 Mimikatz 这款经典工具的底层原理，比如明文凭据如何缓存在 LSASS 进程中，为什么可以使用 sekurlsa::wdigest 来提取这些凭据，但这并不是本篇文章要讨论的主题。在细扣 sekurlsa::wdigest 模块的同时，我拓展了一个绕过 Credential Guard 的小技巧。或许您已经听说过这种巧妙的 Credential Gua...

DCSync DCSync 是域渗透中常用的凭据窃取手段。该技术利用域控制器同步的原理，通过 Directory Replication Service（DRS）服务的 IDL_DRSGetNCChanges 接口向域控发起数据同步请求。在 DCSync 出现之前，要想获得所有域用户的哈希，测试人员可能需要登录域控制器或通过卷影拷贝技术获取 NTDS.dit 文件。有了 DCSync 后，...

通常情况下，攻击者能够在域的 ms-DS-MachineAccountQuota 属性值的限制内创建新的机器账户，并利用基于资源的约束委派实现提权。默认情况下，ms-DS-MachineAccountQuota 属性值为 10，也就是说一个域用户只能创建 10 个机器账户。但是，管理员可以将该属性值设为 0 以阻止潜在的攻击。当 ms-DS-MachineAccountQuota 属性值为 ...

Windows 系统提供了与 RpcImpersonateClient() 功能相似的 ImpersonateNamedPipeClient() 函数。这意味着，在命名管道通信中，管道服务器也可以模拟已连接的管道客户端。因此，如果能够欺骗特权进程连接到我们创建的命名管道，我们可以通过令牌窃取的思路获得客户端令牌，并在特权令牌的上下文中创建进程。 [toc] PIPE 管道（PIPE）是...

2022 年 5 月 10 日，微软发布补丁修复了一个 Active Directory 域权限提升漏洞（CVE-2022–26923，Certifried）。我们可以通过 KrbRelay 中继 Kerberos ，为当前计算机账户设置 msDS-KeyCredentialLink，从而利用 Shadow Credentials + SCMUACBypass 实现本地提权。然后修改当前计算...

2022 年 5 月 10 日，微软发布补丁修复了一个 Active Directory 域权限提升漏洞（CVE-2022–26923）。该漏洞是由于对用户属性的不正确获取，允许低权限用户在安装了 Active Directory 证书服务（AD CS）服务器角色的 Active Directory 环境中将权限提升至域管理员。这一漏洞最早由安全研究员 Oliver Lyak（@ly4k_）...

很多时候，NTLM Relay 并没有我们想象的那么完美。例如，在对 LDAP/s 这种协商签名的服务执行 NTLM Relay 时，如果在 Net-NTLM Hash 交换期间设置了协商签名标志，则目标服务器将忽略未签名的消息，从而导致攻击失败。幸运的是，并非所有客户端都设置了协商签名标志，如果客户端不支持签名，那么服务器是不会强制签名的。 在强制身份验证中，有很多服务可以支持身份验证，...

在 Black Hat Europe 2019 大会期间，Michael Grafnetter（@MGrafnetter）讨论了针对 Windows Hello for Business 技术的多种攻击方法，其中包括域持久化技术。该技术涉及修改目标计算机账户或用户帐户的 msDS-KeyCredentialLink 属性，以获得用于检索 NTLM 哈希值和请求 TGT 票据。即使目标帐户的密...