Home
WHOAMI
Cancel

WinT - 2023 第七届“强网杯”决赛 RPC 本地提权 Review

前两天强网杯 Final RealWorld 有一个 Windows RPC 本地提权的题目,比赛结束后找朋友要了附件简单复现了一下。不过这个题当时好像还有不少非预期,还有的师傅说看我 “Creating Windows Access Tokens With God Privilege” 这篇博客解出来了,但我确实没发现这道题跟 God Privilege 有什么联系。 Introduct...

AD CS - New Ways to Abuse ManageCA Permissions

TL;DR This report documents a local elevation of privilege vulnerability in Active Directory Certificate Services (AD CS). The vulnerability is caused by a race condition vulnerability when Certsr...

Revisiting a Abuse of Read-Only Domain Controllers (RODCs)

TL;DR 由于 RODC 通常被视为不具备与可写 DC 相同级别的访问权限,因此在许多环境中,可能会牵涉到利用 RODC 提升权限的情况。在某些情景下,有可能从只读域控制器升级为完全可写的域控制器。 本文涵盖了 Active Directory 环境中使用只读域控制器时可能发生的错误配置情况,并使红队和蓝队更好地了解和检查 RODC 配置是否存在问题。 Read-Only Domai...

S4UTomato - Escalate Service Account To LocalSystem via Kerberos

Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道,它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的:利用 COM 接口的一些特性,欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人(NTLM Relay)攻击,并为 NT...

Revisiting a UAC Bypass By Abusing Kerberos Tickets

Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...

How to Forge a Kerberos Ticket by Yourself

TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中,最常见的是伪造黄金票据(Golden Ticket)或白银票据(Silver Ticket)。 黄金票据攻击是一种高级的攻击技术,攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key(长期密钥,一般是哈希值),可以使用此密钥伪造任意特权账户的 Ticket...

Creating Windows Access Tokens With God Privilege

SeCreateTokenPrivilege 在 Windows 系统中,存在一个名为 SeCreateTokenPrivilege 的特权,它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限,因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌,该函数是 Windows 操作系统的 Nati...

Pass The Certificate when PKINIT Padata Type is NOSUPP

前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials,但在最后一步遇到了 PKINIT 不起作用的情况。最终,我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证,并执行基于资源的约束性委派攻击。 Background 前段时间,我尝试为某域环境中的域控制器添加 msDS-KeyC...

Revisiting a Credential Guard Bypass From Wdigest

在过去一段时间中,我一直试图探索 Mimikatz 这款经典工具的底层原理,比如明文凭据如何缓存在 LSASS 进程中,为什么可以使用 sekurlsa::wdigest 来提取这些凭据,但这并不是本篇文章要讨论的主题。在细扣 sekurlsa::wdigest 模块的同时,我拓展了一个绕过 Credential Guard 的小技巧。或许您已经听说过这种巧妙的 Credential Gua...

Privilege Escalation - Exploiting RBCD Using a User Account

通常情况下,攻击者能够在域的 ms-DS-MachineAccountQuota 属性值的限制内创建新的机器账户,并利用基于资源的约束委派实现提权。默认情况下,ms-DS-MachineAccountQuota 属性值为 10,也就是说一个域用户只能创建 10 个机器账户。但是,管理员可以将该属性值设为 0 以阻止潜在的攻击。当 ms-DS-MachineAccountQuota 属性值为 ...