Overview SharpADWS 是一个为 Red Teams 打造的 Active Directory 侦查和利用工具,其通过 Active Directory Web Services (ADWS) 协议收集并修改 Active Directory 数据。 通常情况下,枚举或操作 Active Directory 是通过 LDAP 协议进行的。SharpADWS 能够在不直接与 ...
WinT - 2023 第七届“强网杯”决赛 RPC 本地提权 Review
前两天强网杯 Final RealWorld 有一个 Windows RPC 本地提权的题目,比赛结束后找朋友要了附件简单复现了一下。不过这个题当时好像还有不少非预期,还有的师傅说看我 “Creating Windows Access Tokens With God Privilege” 这篇博客解出来了,但我确实没发现这道题跟 God Privilege 有什么联系。 Introduct...
AD CS - New Ways to Abuse ManageCA Permissions
TL;DR This report documents a local elevation of privilege vulnerability in Active Directory Certificate Services (AD CS). The vulnerability is caused by a race condition vulnerability when Certsr...
Revisiting a Abuse of Read-Only Domain Controllers (RODCs)
TL;DR 由于 RODC 通常被视为不具备与可写 DC 相同级别的访问权限,因此在许多环境中,可能会牵涉到利用 RODC 提升权限的情况。在某些情景下,有可能从只读域控制器升级为完全可写的域控制器。 本文涵盖了 Active Directory 环境中使用只读域控制器时可能发生的错误配置情况,并使红队和蓝队更好地了解和检查 RODC 配置是否存在问题。 Read-Only Domai...
S4UTomato - Escalate Service Account To LocalSystem via Kerberos
Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道,它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的:利用 COM 接口的一些特性,欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人(NTLM Relay)攻击,并为 NT...
Revisiting a UAC Bypass By Abusing Kerberos Tickets
Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...
How to Forge a Kerberos Ticket by Yourself
TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中,最常见的是伪造黄金票据(Golden Ticket)或白银票据(Silver Ticket)。 黄金票据攻击是一种高级的攻击技术,攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key(长期密钥,一般是哈希值),可以使用此密钥伪造任意特权账户的 Ticket...
Creating Windows Access Tokens With God Privilege
SeCreateTokenPrivilege 在 Windows 系统中,存在一个名为 SeCreateTokenPrivilege 的特权,它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限,因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌,该函数是 Windows 操作系统的 Nati...
Pass The Certificate when PKINIT Padata Type is NOSUPP
前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials,但在最后一步遇到了 PKINIT 不起作用的情况。最终,我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证,并执行基于资源的约束性委派攻击。 Background 前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyC...
Sekurlsa - 如何滥用 CreateProcessWithLogonW 函数实现哈希传递
0. 基础知识 哈希传递(Pass The Hash,PTH)是一种针对 NTLM 协议的攻击技术。当攻击者获得有效的用户名和哈希值后,就能够对远程主机进行身份认证,无需暴力破解明文密码即可获取该主机权限。该方法直接取代了窃取用户明文密码和暴力破解哈希值的需要,在内网渗透中十分经典。 Windows 身份验证的核心原则是用户仅在交互式登录期间输入一次凭据,成功验证安全主体凭据后,身份验证...