Overview SharpADWS 是一个为 Red Teams 打造的 Active Directory 侦查和利用工具，其通过 Active Directory Web Services (ADWS) 协议收集并修改 Active Directory 数据。 通常情况下，枚举或操作 Active Directory 是通过 LDAP 协议进行的。SharpADWS 能够在不直接与 ...

前两天强网杯 Final RealWorld 有一个 Windows RPC 本地提权的题目，比赛结束后找朋友要了附件简单复现了一下。不过这个题当时好像还有不少非预期，还有的师傅说看我 “Creating Windows Access Tokens With God Privilege” 这篇博客解出来了，但我确实没发现这道题跟 God Privilege 有什么联系。 Introduct...

TL;DR This report documents a local elevation of privilege vulnerability in Active Directory Certificate Services (AD CS). The vulnerability is caused by a race condition vulnerability when Certsr...

TL;DR 由于 RODC 通常被视为不具备与可写 DC 相同级别的访问权限，因此在许多环境中，可能会牵涉到利用 RODC 提升权限的情况。在某些情景下，有可能从只读域控制器升级为完全可写的域控制器。 本文涵盖了 Active Directory 环境中使用只读域控制器时可能发生的错误配置情况，并使红队和蓝队更好地了解和检查 RODC 配置是否存在问题。 Read-Only Domai...

Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道，它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的：利用 COM 接口的一些特性，欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人（NTLM Relay）攻击，并为 NT...

Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...

TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中，最常见的是伪造黄金票据（Golden Ticket）或白银票据（Silver Ticket）。 黄金票据攻击是一种高级的攻击技术，攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key（长期密钥，一般是哈希值），可以使用此密钥伪造任意特权账户的 Ticket...

SeCreateTokenPrivilege 在 Windows 系统中，存在一个名为 SeCreateTokenPrivilege 的特权，它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限，因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌，该函数是 Windows 操作系统的 Nati...

前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。最终，我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证，并执行基于资源的约束性委派攻击。 Background 前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyC...

0. 基础知识 哈希传递（Pass The Hash，PTH）是一种针对 NTLM 协议的攻击技术。当攻击者获得有效的用户名和哈希值后，就能够对远程主机进行身份认证，无需暴力破解明文密码即可获取该主机权限。该方法直接取代了窃取用户明文密码和暴力破解哈希值的需要，在内网渗透中十分经典。 Windows 身份验证的核心原则是用户仅在交互式登录期间输入一次凭据，成功验证安全主体凭据后，身份验证...