TL;DR 本文涵盖了攻击只读域控制器的几种不同情景。由于 RODC 通常被视为不具备与可写 DC 相同级别的访问权限，因此在许多环境中，可能会牵涉到利用 RODC 提升权限的情况。在某些情景下，有可能从只读域控制器升级为完全可写的域控制器。 本文涵盖了 Active Directory 环境中使用只读域控制器时可能发生的错误配置情况，并使红队和蓝队更好地了解和检查 RODC 配置是否存...

Traditional Potatoes 熟悉 “Potato” 系列提权的朋友应该知道，它可以将服务账户权限提升至本地系统权限。“Potato” 早期的利用思路几乎都是相同的：利用 COM 接口的一些特性，欺骗 NT AUTHORITY\SYSTEM 账户连接并验证到攻击者控制的 RPC 服务器。然后通过一系列 API 调用对这个认证过程执行中间人（NTLM Relay）攻击，并为 NT...

Background The inspiration for this article comes from James Forshaw (@tiraniddo) who presented a topic titled “Taking Kerberos To The Next Level” at BlackHat USA 2022. In his presentation, he dem...

TL;DR 票据伪造攻击是指攻击者通过伪造 Kerberos 票据来获取未经授权的访问权限。在这种攻击中，最常见的是伪造黄金票据（Golden Ticket）或白银票据（Silver Ticket）。 黄金票据攻击是一种高级的攻击技术，攻击者获取了域控制器的域控制器账户 Krbtgt 的 Long-term Key（长期密钥，一般是哈希值），可以使用此密钥伪造任意特权账户的 Ticket...

SeCreateTokenPrivilege 在 Windows 系统中，存在一个名为 SeCreateTokenPrivilege 的特权，它在 Microsoft 官方文档中被描述为 “Create a token object”。它被认为是 “上帝” 权限，因为拥有该特权的任何进程能够通过 ZwCreateToken API 创建主令牌，该函数是 Windows 操作系统的 Nati...

前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyCredentialLink 属性来执行 Shadow Credentials，但在最后一步遇到了 PKINIT 不起作用的情况。最终，我成功使用证书通过 Schannel 对 LDAP/S 服务器进行身份验证，并执行基于资源的约束性委派攻击。 Background 前段时间，我尝试为某域环境中的域控制器添加 msDS-KeyC...

在过去一段时间中，我一直试图探索 Mimikatz 这款经典工具的底层原理，比如明文凭据如何缓存在 LSASS 进程中，为什么可以使用 sekurlsa::wdigest 来提取这些凭据，但这并不是本篇文章要讨论的主题。在细扣 sekurlsa::wdigest 模块的同时，我拓展了一个绕过 Credential Guard 的小技巧。或许您已经听说过这种巧妙的 Credential Gua...

通常情况下，攻击者能够在域的 ms-DS-MachineAccountQuota 属性值的限制内创建新的机器账户，并利用基于资源的约束委派实现提权。默认情况下，ms-DS-MachineAccountQuota 属性值为 10，也就是说一个域用户只能创建 10 个机器账户。但是，管理员可以将该属性值设为 0 以阻止潜在的攻击。当 ms-DS-MachineAccountQuota 属性值为 ...

Windows 系统提供了与 RpcImpersonateClient() 功能相似的 ImpersonateNamedPipeClient() 函数。这意味着，在命名管道通信中，管道服务器也可以模拟已连接的管道客户端。因此，如果能够欺骗特权进程连接到我们创建的命名管道，我们可以通过令牌窃取的思路获得客户端令牌，并在特权令牌的上下文中创建进程。 [toc] PIPE 管道（PIPE）是...

2022 年 5 月 10 日，微软发布补丁修复了一个 Active Directory 域权限提升漏洞（CVE-2022–26923，Certifried）。我们可以通过 KrbRelay 中继 Kerberos ，为当前计算机账户设置 msDS-KeyCredentialLink，从而利用 Shadow Credentials + SCMUACBypass 实现本地提权。然后修改当前计算...