Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道，它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的：利用 COM 接口的一些特性，欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人（NTLM Relay）攻击，并为 NT...

Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...

TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中，最常见的是伪造黄金票据（Golden Ticket）或白银票据（Silver Ticket）。 黄金票据攻击是一种高级的攻击技术，攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key（长期密钥，一般是哈希值），可以使用此密钥伪造任意特权账户的 Ticket...

SeCreateTokenPrivilege 在 Windows 系统中，存在一个名为 SeCreateTokenPrivilege 的特权，它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限，因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌，该函数是 Windows 操作系统的 Nati...

前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。最终，我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证，并执行基于资源的约束性委派攻击。 Background 前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyC...

在过去一段时间中，我一直试图探索 Mimikatz 这款经典工具的底层原理，比如明文凭据如何缓存在 LSASS 进程中，为什么可以使用 sekurlsa::wdigest 来提取这些凭据，但这并不是本篇文章要讨论的主题。在细扣 sekurlsa::wdigest 模块的同时，我拓展了一个绕过 Credential Guard 的小技巧。或许您已经听说过这种巧妙的 Credential Gua...

通常情况下，攻击者能够在域的 ms-DS-MachineAccountQuota 属性值的限制内创建新的机器账户，并利用基于资源的约束委派实现提权。默认情况下，ms-DS-MachineAccountQuota 属性值为 10，也就是说一个域用户只能创建 10 个机器账户。但是，管理员可以将该属性值设为 0 以阻止潜在的攻击。当 ms-DS-MachineAccountQuota 属性值为 ...

Windows 系统提供了与 RpcImpersonateClient() 功能相似的 ImpersonateNamedPipeClient() 函数。这意味着，在命名管道通信中，管道服务器也可以模拟已连接的管道客户端。因此，如果能够欺骗特权进程连接到我们创建的命名管道，我们可以通过令牌窃取的思路获得客户端令牌，并在特权令牌的上下文中创建进程。 [toc] PIPE 管道（PIPE）是...

2022 年 5 月 10 日，微软发布补丁修复了一个 Active Directory 域权限提升漏洞（CVE-2022–26923，Certifried）。我们可以通过 KrbRelay 中继 Kerberos ，为当前计算机账户设置 msDS-KeyCredentialLink，从而利用 Shadow Credentials + SCMUACBypass 实现本地提权。然后修改当前计算...

2022 年 5 月 10 日，微软发布补丁修复了一个 Active Directory 域权限提升漏洞（CVE-2022–26923）。该漏洞是由于对用户属性的不正确获取，允许低权限用户在安装了 Active Directory 证书服务（AD CS）服务器角色的 Active Directory 环境中将权限提升至域管理员。这一漏洞最早由安全研究员 Oliver Lyak（@ly4k_）...