Mane

Write by mane， 請勿轉載 。 0x0 介紹 近年來 AD 經常被大佬們搞，在今年 5 月份微軟修復的漏洞中，其中最離譜的是 ADCS，CVE-2022-26923，只需要修改 SPN 就可以拿到 Domain Admin 的權限。在這個星期内又爆出了一個針對 RPC 攻擊的工具， DFSCoerce 。 現在已經有很多針對 RPC 攻擊的工具，這些工具通常都是做 NTLM Relay 攻擊，NTLM 攻擊可大可小，通常都是視環境而定，有一些工具無需密碼就拿下 Domain Admin。 0x1 DFSCoerce 原理 根據文檔，它使用了 NetrDfsRemoveStdRoot 和 NetrDfsAddStdRoot 的 RPC 接口 MS-DFSNM 來主動請求第三方服務器，這樣可以把第三方服務器設定爲攻擊機，就可以拿到這臺機器的 NTLM，從而做些壞事，RPC 接口具體參考 這裏 。 0x2 準備環境 && 要求 （ 隔壁 借張圖，具體原理看上面的圖） 有三臺機器 ： 第一個是 AD（我的環境叫 DC：192.168.182.139），做 Domain Controller 。 第二個是 CA 機（我的環境叫 MANECA：192.168.182.140），裏面跑 ADCS 服務，join 了上面 AD 的 domain。 第三個是 Kali：192.168.182.132。 設定的環境比較苛刻： 由於這個工具使用了 NetrDfsRemoveStdRoot 和 NetrDfsAddStdRoot ，所以要在 DC 上安裝 Distributed File System (DFS): Namespace Management . DC 和 ADCS 要分開兩臺機器，如果把服務都集成在 DC 裏面會攻擊失敗，kali 做中間人攻擊。 ADCS 服務器上要跑醜陋的證書注冊網頁，比如： http://CA/certsrv/ ，只能是 HTTP，而且沒有啓用 NTLM 中继保护。 如果啓用了 smart card 或者 winrm 的 https 版就可以直接省去後面 Add computer 的動作，懶的話直接用 Certipy 獲取 NT hash。 一個在 DC 裏面的低權限的賬號。 備注： 我用的 AD 和 ADCS 都是 Windows S...