Home
WHOAMI
Cancel

PetitPotato - How Do I Escalate To SYSTEM Via Named Pipe

Windows 系统提供了与 RpcImpersonateClient() 功能相似的 ImpersonateNamedPipeClient() 函数。这意味着,在命名管道通信中,管道服务器也可以模拟已连接的管道客户端。因此,如果能够欺骗特权进程连接到我们创建的命名管道,我们可以通过令牌窃取的思路获得客户端令牌,并在特权令牌的上下文中创建进程。 [toc] PIPE 管道(PIPE)是...

Domain Escalation - Certifried combined with KrbRelay

2022 年 5 月 10 日,微软发布补丁修复了一个 Active Directory 域权限提升漏洞(CVE-2022–26923,Certifried)。我们可以通过 KrbRelay 中继 Kerberos ,为当前计算机账户设置 msDS-KeyCredentialLink,从而利用 Shadow Credentials + SCMUACBypass 实现本地提权。然后修改当前计算...

Certifried - Active Directory 域权限提升漏洞(CVE-2022–26923)

2022 年 5 月 10 日,微软发布补丁修复了一个 Active Directory 域权限提升漏洞(CVE-2022–26923)。该漏洞是由于对用户属性的不正确获取,允许低权限用户在安装了 Active Directory 证书服务(AD CS)服务器角色的 Active Directory 环境中将权限提升至域管理员。这一漏洞最早由安全研究员 Oliver Lyak(@ly4k_)...

Privilege Escalation - NTLM Relay over HTTP (Webdav)

很多时候,NTLM Relay 并没有我们想象的那么完美。例如,在对 LDAP/s 这种协商签名的服务执行 NTLM Relay 时,如果在 Net-NTLM Hash 交换期间设置了协商签名标志,则目标服务器将忽略未签名的消息,从而导致攻击失败。幸运的是,并非所有客户端都设置了协商签名标志,如果客户端不支持签名,那么服务器是不会强制签名的。 在强制身份验证中,有很多服务可以支持身份验证,...

Shadow Credentials

在 Black Hat Europe 2019 大会期间,Michael Grafnetter(@MGrafnetter)讨论了针对 Windows Hello for Business 技术的多种攻击方法,其中包括域持久化技术。该技术涉及修改目标计算机账户或用户帐户的 msDS-KeyCredentialLink 属性,以获得用于检索 NTLM 哈希值和请求 TGT 票据。即使目标帐户的密...

使用 MITM6 通过 DNS 中继 Kerberos 身份验证

2021 年 10 月,James Forshaw(@tiraniddo)在 Project Zero 上发表了一篇名为 Using Kerberos for Authentication Relay Attacks 的文章,介绍了其在中继 Kerberos 身份验证方面的相关研究。该项研究一举反驳了多年以来不能中继 Kerberos 的观点。文章中介绍了一些技巧,可以使 Windows 对...

使用 MITM6 中继 WPAD 身份验证

2018 年对于攻击性社区来说是非常好的一年,因为 Dirk-jan Mollema(@dirkjanm)公布了有关基于 IPv6 中间人攻击的研究。在现代 Windows 操作系统中,默认情况下将启用 IPv6。这意味着系统会定期轮询 IPv6 配置,因为 IPv6 是比 IPv4 更新的协议,因此在 Microsoft 操作系统中,IPv6 的优先级将高于 IPv4。 然而,在绝大多数...

Attack Surface Mining For AD CS

本篇文章大部分翻译并复现自 Will Schroeder(@harmj0y)和 Lee Christensen(@tifkin_)在 2021 年的 BlackHat 大会上所发布的白皮书 Certified Pre-Owned - Abusing Active Directory Certificate Services,其中详细介绍了关于 Active Directory Certi...

Abusing Domain Delegation to Attack Active Directory

域委派是指将域内用户的权限委派给服务账户,使得相关服务账户能够以域用户的身份权限获得相关域内服务资源的访问权限。值得注意的是,在域环境中,只有机器账户和服务账户拥有委派属性,也就是说只有这两类账户可以配置域委派。 在下面这个场景中,一个普通域用户 Marcus 通过 Kerberos 协议认证到前台 Web 服务,并请求下载文件。但是由于文件存储在后台文件服务器(File Server)上...