前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials,但在最后一步遇到了 PKINIT 不起作用的情况。最终,我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证,并执行基于资源的约束性委派攻击。 Background 前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyC...
Revisiting a Credential Guard Bypass From Wdigest
在过去一段时间中,我一直试图探索 Mimikatz 这款经典工具的底层原理,比如明文凭据如何缓存在 LSASS 进程中,为什么可以使用 sekurlsa::wdigest 来提取这些凭据,但这并不是本篇文章要讨论的主题。在细扣 sekurlsa::wdigest 模块的同时,我拓展了一个绕过 Credential Guard 的小技巧。或许您已经听说过这种巧妙的 Credential Gua...
Privilege Escalation - Exploiting RBCD Using a User Account
通常情况下,攻击者能够在域的 ms-DS-MachineAccountQuota 属性值的限制内创建新的机器账户,并利用基于资源的约束委派实现提权。默认情况下,ms-DS-MachineAccountQuota 属性值为 10,也就是说一个域用户只能创建 10 个机器账户。但是,管理员可以将该属性值设为 0 以阻止潜在的攻击。当 ms-DS-MachineAccountQuota 属性值为 ...
PetitPotato - How Do I Escalate To SYSTEM Via Named Pipe
Windows 系统提供了与 RpcImpersonateClient() 功能相似的 ImpersonateNamedPipeClient() 函数。这意味着,在命名管道通信中,管道服务器也可以模拟已连接的管道客户端。因此,如果能够欺骗特权进程连接到我们创建的命名管道,我们可以通过令牌窃取的思路获得客户端令牌,并在特权令牌的上下文中创建进程。 [toc] PIPE 管道(PIPE)是...
Domain Escalation - Certifried combined with KrbRelay
2022 年 5 月 10 日,微软发布补丁修复了一个 Active Directory 域权限提升漏洞(CVE-2022–26923,Certifried)。我们可以通过 KrbRelay 中继 Kerberos ,为当前计算机账户设置 msDS-KeyCredentialLink,从而利用 Shadow Credentials + SCMUACBypass 实现本地提权。然后修改当前计算...
Certifried - Active Directory 域权限提升漏洞(CVE-2022–26923)
2022 年 5 月 10 日,微软发布补丁修复了一个 Active Directory 域权限提升漏洞(CVE-2022–26923)。该漏洞是由于对用户属性的不正确获取,允许低权限用户在安装了 Active Directory 证书服务(AD CS)服务器角色的 Active Directory 环境中将权限提升至域管理员。这一漏洞最早由安全研究员 Oliver Lyak(@ly4k_)...
Privilege Escalation - NTLM Relay over HTTP (Webdav)
很多时候,NTLM Relay 并没有我们想象的那么完美。例如,在对 LDAP/s 这种协商签名的服务执行 NTLM Relay 时,如果在 Net-NTLM Hash 交换期间设置了协商签名标志,则目标服务器将忽略未签名的消息,从而导致攻击失败。幸运的是,并非所有客户端都设置了协商签名标志,如果客户端不支持签名,那么服务器是不会强制签名的。 在强制身份验证中,有很多服务可以支持身份验证,...
UAC Bypass - Exploit Leaked Process Handles
在某些情况下,具有高完整性级别或系统完整性级别的进程处理特权进程/线程/令牌,然后产生较低完整性的进程。如果这些特权进程的句柄足够强大、类型正确并且被子进程继承,我们可以从另一个进程对它们进行复制,然后滥用它们来提升权限或绕过 UAC。 Mandatory Integrity Levels 强制完整性控制(Mandatory Integrity Levels,MIC)是 Windows ...
Shadow Credentials
在 Black Hat Europe 2019 大会期间,Michael Grafnetter(@MGrafnetter)讨论了针对 Windows Hello for Business 技术的多种攻击方法,其中包括域持久化技术。该技术涉及修改目标计算机账户或用户帐户的 msDS-KeyCredentialLink 属性,以获得用于检索 NTLM 哈希值和请求 TGT 票据。即使目标帐户的密...
使用 MITM6 通过 DNS 中继 Kerberos 身份验证
2021 年 10 月,James Forshaw(@tiraniddo)在 Project Zero 上发表了一篇名为 《Using Kerberos for Authentication Relay Attacks》 的文章,介绍了其在中继 Kerberos 身份验证方面的相关研究。该项研究一举反驳了多年以来不能中继 Kerberos 的观点。文章中介绍了一些技巧,可以使 Windows...