歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

結合CVE-2019-1040漏洞的兩種域提權利用深度分析

來源:本站整理 作者:佚名 時間:2019-07-03 TAG: 我要投稿

2019年6月,Microsoft發布了一條安全更新。該更新針對CVE-2019-1040漏洞進行修復。此次漏洞,攻擊者可以通過中間人攻擊,繞過NTLM MIC(消息完整性檢查)保護,將身份驗證流量中繼到目標服務器。
通過這種攻擊使得攻擊者在僅有一個普通域賬號的情況下可以遠程控制 Windows 域內的任何機器,包括域控服務器。
 
0x01 漏洞利用
攻擊方式一:Exchange
驗證環境:
角色
系統版本
計算機名
IP地址

Attacker
Ubuntu Server 18.04
ubuntu
192.168.123.69
DC
Windows Server 2012 R2
topsec-dc
192.168.123.150
test.local
Exchange
Windows Server 2012 R2
topsec
192.168.123.143
test.local
驗證過程:
① 環境搭建
安裝配置域控制器
安裝配置Exchange Server,參考[1]
在域中新建一個用于測試的賬戶test
②執行ntlmrelayx.py腳本進行NTLM中繼攻擊,設置SMB服務器并將認證憑據中繼到LDAP協議。其中–remove-mic選項用于清除MIC標志,–escalate-user用于提升指定用戶權限。

③ 執行printerbug.py腳本,觸發SpoolService的bug。

④ SpoolService的bug導致Exchange服務器回連到ntlmrelayx.py,即將認證信息發送到ntlmrelayx.py。可以在下圖中看到認證用戶是TEST\TOPSEC$。

接著ntlmrelayx.py開始執行LDAP攻擊,加上-debug選項后可以看到更詳細的信息。
首先,通過遍歷驗證中繼帳戶所在用戶組及權限,發現當前賬戶可以創建用戶、可以修改test.local域的ACL,因為域中的Exchange Windows Permissions用戶組被允許修改ACL,如下圖所示:

該用戶組下的成員正是中繼的計算機賬戶TOPSEC

因此腳本會首選修改ACL來提權,因為這相比創建用戶的方式更隱秘一些。具體方式是通過LDAP修改域的安全描述符(Security Descriptor),可以在下面的數據包中看到ACL中每一條具體的訪問控制條目(ACE,Access Control Entries):

⑤ 完成ACL的修改后,test就可以通過secretsdump.py的DCSync功能dump出所有密碼哈希值:

攻擊方式二:Kerberos委派
驗證環境:
角色
系統版本
計算機名
IP地址

Attacker
Ubuntu Server 18.04
ubuntu
192.168.123.69
DC
Windows Server 2012 R2
topsec-dc
192.168.123.212
test.local
SDC
Windows Server 2012 R2
topsec
192.168.123.62
test.local
驗證過程:
① 環境搭建
安裝配置域控制器,同時開啟LDAPS支持,因為該攻擊方式需要添加新的計算機賬戶,必須在LDAPS進行。開啟方法參考[2]
安裝配置輔助域控制器,參考[3]
在域中新建一個用于測試的賬戶topsec,一個域管理員admin
② 和攻擊方式一相同,執行ntlmrelayx.py本,使用–delegate-access選項,delegate-access選項將中繼計算機帳戶(這里即輔助域控制器)的訪問權限委托給attacker。

③ attacker對輔助域控制器(SDC)執行printerbug.py腳本

printerbug.py腳本執行成功后,將觸發輔助域控制器(SDC)回連Attacker主機,回連使用的認證用戶是輔助域控制器(SDC)本地計算機賬戶TEST/TOPSEC$。
ntlmrelayx.py通過ldaps將該用戶賬戶中繼到域控服務器(DC),因為這種攻擊方式下所冒用的身份TEST/TOPSEC$并不在Exchange Windows Permissions組內,不具有修改ACL權限,但是可以通過此身份在DC上添加一個新計算機賬戶(下圖中EJETBTTB$), 并修改其約束委派授權,授予它對受害計算機(輔助域控制器)的委派權限。


④使用getSP.py腳本,通過-impersonate參數模擬用戶admin請求其票證,保存為ccache,admin用戶為Domain Admins組的成員,具有對輔助域控制器(SDC)的管理與訪問權限。

[1] [2] [3] [4] [5] [6]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺 12月13日股票分析 洗碗赚钱买书作文四百字 炒股如何赚钱 专业做推广的微帮赚不赚钱 美术馆怎样赚钱 uc如何发视频赚钱 常年卖香蕉赚钱吗 京享街可以赚钱吗 什么花椒最赚钱吗 股票融资和债券融资 000157个股资料股票行情 点化石赚钱吗 挖铝矿怎么赚钱 龙珠觉醒能赚钱吗 能赚钱的广告平台 共生币公司怎么赚钱