Adminxe的博客

该漏洞允许低权限用户在安装了 Active Directory 证书服务 (AD CS) 服务器角色的默认 Active Directory 环境中将权限提升到域管理员。在默认安装的ADCS里就启用了Machine模板。

优快云自动迁移博客文章注意区别：约束性委派 不能跨域进行委派，基于资源的约束性委派可以跨域和林如果约束性委派，必须拥有权限，该特权是敏感的，通常仅授予域管理员。为了使用户/资源更加独立，Windows Server 2012 中引入了基于资源的约束委派。基于资源的约束性委派不需要域管理员权限去设置，而是把设置属性的权限赋予给了机器自身。基于资源的约束性委派允许资源配置受信任的帐户委派给他们。基于资源的约束性委派只能在运行 ·Windows Server 2012 及以上的域控制器·上配置，

优快云自动博客文章迁移由于非约束性委派的不安全性，微软在 Windows Server 2003 中引入了约束委派。区别在于不会直接把 TGT 给服务，所发送的认证信息中包含了允许访问的服务，即不允许服务代表用户去访问其他服务。同时为了在 Kerberos 协议层面对约束性委派的支持， 微软扩展了两个子协议：S4U2SelfS4U2ProxyS4U2Self可以代表自身请求针对其自身的 Kerberos 服务票据STS4U2Proxy。

优快云文章自动迁移自博客在Windows 2000 Server 首次发布 Active Directory 时，Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 Web Server 进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为“Kerberos 双跳问题”，并且要求进行委派，以便 Web Server 在修改数据库记录时模拟用户。Windows 2000 Server 发布的也是最初的非约束性委派。需要注意的一点是接受委派的用户只能是。

域账户的几种攻击方式 0x01 Pre-Authentication 适用于在域外的时候，对域内的用户名进行枚举。利用Kerberos pre-auth的特性，在AS-REP中： 如果进行请求的用户存在，error-code为：ERR-PREAUTH-REQUIRED 如果请求的用户不存在，error-code

NTLM中继是一项众所周知的技术，主要用于安全评估中，以便在网络中的服务器上建立立足点或用于特权提升方案。在没有为LDAP和SMB协议启用签名的网络中，这种攻击是可行的。此外，正在使用其提升的帐户身份验证到服务器和工作站中的域管理员可以为攻击者提供机会，使他们可以通过LSASS或通过使用远程马铃薯技术来转储其凭据，从而对整个域造成损害。Remote Potato是Antonio Cocomazzi和Andrea Pierini发现的一种技术，它允许攻击者将其权限从域用户提升到。

优快云文章自动迁移老文章这篇文章在社区看的，自己没有操作，就直接复制过来。 制作伪造证书 使用ForgeCert，参考：https://github.com/GhostPack/ForgeCert P12和PFX使用方法是一致的 CaCertPassword：导出证书时设置的密码 NewCertPassword：伪造证书添加的密码 ForgeCert.exe --CaCertPath cert.pfx --CaCertPassword "Wsx123." --Subj

ADCS在默认安装的时候，其Web接口支持NTLM身份验证并且没有启用任何NTLM Relay保护措施。强制域控制器计算机帐户(DC$)向配置了NTLM中继的主机进行身份验证。身份验证被转发给证书颁发机构(CA)并提出对证书的请求。获取到了DC$的证书后就可以为用户/机器请求TGS/TGT票据，获取相应的权限。curl-I。

表示允许 Active Directory 中任何经过身份验证的用户请求基于此证书模板生成的新证书。表示将基于此证书模板生成的证书可用于对 Active Directory 中的计算机进行身份验证。表示基于此证书模板申请新证书的用户可以为其他用户申请证书，即任何用户，包括域管理员用户。注：将生成的cert.pem先保存到txt,然后重命名为cert.pem。pem转换pfx证书,直接回车，不需要输入密码，申请TGT票据。右键复制工作站身份认证模板，做一些修改。认证后的用户/域用户随便勾一个就行了。

打开组策略，计算机配置\Windows 设置\安全设置\本地策略\安全选项，找到配置 Kerberos 允许的加密类型，将下面全部勾选即可，勾选后，重新启动就可以获取TGT了。判断是否存在域，通常域控的NetBIOS名称有关键字例如DC字样，fscan也能直接识别，域控也会通常开启53&88&389&636端口。1、靶场不成功，记得恢复快照时，统一连接下桥接，同步下时间，每台机器注意网关设置下，记得同步，同步完可以禁用或者去掉桥接网卡。这种报错，有可能是时间不同步的原因，可重启环境重新测试。

文章迁移优快云：Windows域服务权限提升漏洞（CVE-2021-42287, CVE-2021-42278）是由于Active Directory 域服务没有进行适当的安全限制，导致可绕过安全限制进行权限提升。攻击者可利用该漏洞造成将域内的普通用户权限提升到域管理员权限将任意域用户提升到域管权限（1）一个普通域成员帐户（2）域用户有创建机器用户的权限（一般默认权限）（3）DC未打补丁KB5008380或KB5008602。

一、劫持方式1：创建用户：net user test 123.com /add net localgroup administrators test /add登录后，使用mimikatz工具privilege::debug #提权 ts::sessions #查看当前主机的会话token::elevate #提升本地管理员权限为system ts::remote /id:1 #劫持id为1的会话二、劫持方式2：mimikatz命令如下：privil

0x00 测试环境DC(WIN-ENS2VR5TR3N):192.168.183.130攻击机器:192.168.183.1290x01 对域控进行测试漏洞是否存在python3 zerologon_tester.py WIN-ENS2VR5TR3N 192.168.183.1300x02 使用zerologon工具将域控密码打成空（这里打空的用户是域控所在机器的账户，并不是域控账户。）python3 set_empty_pw DC_NETBIOS_NAME DC_I..

0x00 漏洞详情Microsoft Windows Print Spooler 服务未能限制对RpcAddPrinterDriverEx()函数的访问，该函数可能允许远程身份验证的攻击者以系统权限在易受攻击的系统上执行任意代码。该RpcAddPrinterDriverEx()函数用于在系统上安装打印机驱动程序。此函数的参数之一是DRIVER_CONTAINER对象，它包含有关添加的打印机将使用哪个驱动程序的信息。另一个参数，dwFileCopyFlags指定如何复制替换打印机驱动程序文件。攻击者可..

0x00 前言Cobalt Strike 服务端和客户端是通过 SSL 加密通讯的，由于SSL配置文件和代理配置文件由于默认配置导致keystore文件内容通常被用于防火墙识别。后渗透中经常使用到CS，从两方面讲：一方面是内网设备对流量的管控十分严格，如果不对CS特征进行修改，很容易就被内网设备抓到，进行溯源或者直接封掉IP，间接凉西皮；另外一方面主要还是为了保证攻击队队员计算机的安全，防止被攻击队反制，前段时间看到大佬写的反制CS低版本尤为吊，所以呢，为了防止凉犊子，改了最好。不然的话，你有你..

0x01 前言前段时间，根据大佬Grzegorz Tworek发布的 ：使用LanMan版本的NPLogonNotify（）函数来嗅探用于登录Windows的每个密码。明文。无需重新启动。今天过来研究一波，同时借鉴 来自鸿鹄 ly大佬写的集成powershell调用，来进一步方便利用。0x02 原理通过修改注册表，借助系统函数，抓取Windows明文密码0x03 复现然后将下列代码编译为dll文件：NPPSPy.c源代码#include <Windows.h...

0x01 前言今天无聊看帖子，发现“ 查鲁特 ”师傅发表的钓鱼邮件积分制特别有趣，很形象的应用于攻防演练的场景，对抗于邮件网关是非常重要的一件事，所以拿来分享一下，重视规则，才能突破规则。0x02 积分策略很形象的一个话题，使用积分制来决定你的落户准则，没办法，弱者自然被淘汰，只有不断增长积分才能不被留存在垃圾箱，转而进入收件箱：邮件的防护策略就像上海落户一样，当无法进收件箱就跟落户积分不够一样，要想进收件箱必要让自己分值更高。邮件防护策略分为三种关系如下：拒收<垃圾箱<..

0x01 前言Cross C2是一个支持Linux & MacOS系统的拓展插件，支持用户自定义生成的动态库，以无文件落地的方式从内存中加载执行动态库或可执行文件。用法我的想法来说，相当于一个小集群，插件化方便利用，实际的渗透中意义并不大，更加实际于命令行渗透，做到无文件落地，过流量检测加密免杀等技术的研究。简而言之：一个CS的简单小插件，目的就是上线Linux主机， 可做一些简单的操作，记录一下使用过程中遇到的一些问题，并且在使用中操作的正确性。Cross c2支持架构说明：..