Mane

Write by mane， 請勿轉載 。 0x0 介紹 近年來AD經常被大佬們搞，在今年5月份微軟修復的漏洞中，其中最離譜的是ADCS，CVE-2022-26923，只需要修改SPN就可以拿到Domain Admin的權限。在這個星期内又爆出了一個針對RPC攻擊的工具， DFSCoerce 。 現在已經有很多針對RPC攻擊的工具，這些工具通常都是做 NTLM Relay 攻擊，NTLM 攻擊可大可小，通常都是視環境而定，有一些工具無需密碼就拿下Domain Admin。 0x1 DFSCoerce 原理 根據文檔，它使用了 NetrDfsRemoveStdRoot 和 NetrDfsAddStdRoot 的RPC接口 MS-DFSNM 來主動請求第三方服務器，這樣可以把第三方服務器設定爲攻擊機，就可以拿到這臺機器的NTLM，從而做些壞事，RPC 接口具體參考 這裏 。 0x2 準備環境 && 要求 （ 隔壁 借張圖，具體原理看上面的圖） 有三臺機器 ： 第一個是AD（我的環境叫 DC：192.168.182.139），做 Domain Controller 。 第二個是CA機（我的環境叫 MANECA：192.168.182.140），裏面跑ADCS服務，join了上面AD的domain。 第三個是Kali：192.168.182.132。 設定的環境比較苛刻： 由於這個工具使用了 NetrDfsRemoveStdRoot 和 NetrDfsAddStdRoot ，所以要在DC上安裝 Distributed File System (DFS): Namespace Management . DC 和 ADCS 要分開兩臺機器，如果把服務都集成在DC裏面會攻擊失敗，kali做中間人攻擊。 ADCS 服務器上要跑醜陋的證書注冊網頁，比如： http://CA/certsrv/ ，只能是HTTP，而且沒有啓用NTLM 中继保护。 如果啓用了smart card 或者winrm的https版就可以直接省去後面Add computer的動作，懶的話直接用Certipy獲取NT hash。 一個在DC裏面的低權限的賬號。 備注： 我用的AD和ADCS都是Windows S