Overview In the process of loading JSP files, Tomcat on MacOS and Windows platforms uses the File.exists() method which is case-insensitive. Therefore, when checking whether a file exists, Tomcat ...

Overview SharpADWS 是一个为 Red Teams 打造的 Active Directory 侦查和利用工具，其通过 Active Directory Web Services (ADWS) 协议收集并修改 Active Directory 数据。 通常情况下，枚举或操作 Active Directory 是通过 LDAP 协议进行的。SharpADWS 能够在不直接与 ...

前两天强网杯 Final RealWorld 有一个 Windows RPC 本地提权的题目，比赛结束后找朋友要了附件简单复现了一下。不过这个题当时好像还有不少非预期，还有的师傅说看我 “Creating Windows Access Tokens With God Privilege” 这篇博客解出来了，但我确实没发现这道题跟 God Privilege 有什么联系。 Introduct...

TL;DR This report documents a local elevation of privilege vulnerability in Active Directory Certificate Services (AD CS). The vulnerability is caused by a race condition vulnerability when Certsr...

TL;DR 由于 RODC 通常被视为不具备与可写 DC 相同级别的访问权限，因此在许多环境中，可能会牵涉到利用 RODC 提升权限的情况。在某些情景下，有可能从只读域控制器升级为完全可写的域控制器。 本文涵盖了 Active Directory 环境中使用只读域控制器时可能发生的错误配置情况，并使红队和蓝队更好地了解和检查 RODC 配置是否存在问题。 Read-Only Domai...

Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道，它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的：利用 COM 接口的一些特性，欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人（NTLM Relay）攻击，并为 NT...

Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...

TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中，最常见的是伪造黄金票据（Golden Ticket）或白银票据（Silver Ticket）。 黄金票据攻击是一种高级的攻击技术，攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key（长期密钥，一般是哈希值），可以使用此密钥伪造任意特权账户的 Ticket...

SeCreateTokenPrivilege 在 Windows 系统中，存在一个名为 SeCreateTokenPrivilege 的特权，它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限，因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌，该函数是 Windows 操作系统的 Nati...

前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。最终，我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证，并执行基于资源的约束性委派攻击。 Background 前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyC...