CVE-2022–26923漏洞分析

最新推荐文章于 2025-06-12 05:30:22 发布
最新推荐文章于 2025-06-12 05:30:22 发布
阅读量1.3k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/text2203/article/details/128818794
本文介绍了一个AD域权限提升漏洞CVE-2022–26923,该漏洞允许攻击者通过操纵计算机账户属性假冒DC从ADCS服务器获取证书,从而提升至域管理员权限。文章详细分析了漏洞原理及复现步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞简介

2022年5月10日,微软发布补丁修复了一个
AD域权限提升漏洞(CVE-2022–26923)。该漏洞是由于在申请证书时对AD域中的计算机账户身份审核不够严格,经过身份验证的攻击者可以操纵他们拥有或管理的计算机帐户的属性,假冒DC从AD
CS 服务器获取DC证书,最终导致普通权限用户提升至域管理员权限。这一漏洞最早由安全研究员Oliver
Lyak在2021年12月14日报告给微软,微软在2022年5月的安全更新中对其进行了修补。

**01 **AD CS身份识别

默认情况下,CA允许域用户注册User模板证书,允许域计算机注册Machine模板证书。两个证书模板都允许客户端身份验证。这意味着颁发的证书可用于通过PKINIT
Kerberos 扩展对KDC进行身份验证。

通过对比User和DomainController两个模板的msPKI-Certificate-Name-
Flag属性可以看到User模版包含SUBJECT_ALT_REQUIRE_UPN,DomainController包含
SUBJECT_ALT_REQUIRE_DNS。这两个字段分别标识证书中的用户和计算机的身份,用于CA识别证书的所有者。

如当我们使用User模板请求证书时,用户帐户的UPN将嵌入到证书中。在进行进行身份验证时,KDC会尝试将 UPN 从证书映射到用户。

1654762869_62a1ad75c14ed039fee78.png!small?1654762870090

尝试修改用户的UPN属性,如果能够将该属性修改为AD管理员账号的UPN,则可以实现欺骗AD
CS获取AD管理员权限证书,但是实际上DC会对UPN检查保持全林唯一。

1654762987_62a1adeb1124bdd2994d9.png!small?1654762987426

虽然UPN无法假冒,但是不代表dnsHostName不可以假冒。在MS-ADTS(3.1.1.5.1.3
唯一性约束)文档中并没有标识dnsHostName属性具有唯一性。实际上,通过下面的漏洞分析也可以发现实际这个属性可以重复,这也是这个漏洞产生的主要原因。

**02 **漏洞分析复现

成功利用该漏洞需要满足以下几个必要条件:

1、攻击者获取到一个通过认证的普通域用户凭据或计算机账户凭据

2、AD 域内已配置了 AD CS 服务

3、Machine模板证书可以自动申请

首先第一步需要获得一个已知凭据的计算机账户,如果没有可以使用普通账户通过Impacket创建一个新的计算机账户。

1654763011_62a1ae03e89d9269f0f3e.png!small?1654763012649

默认情况下每个普通用户都拥有添加10个机器账户的权限,添加机器权限可以通过编辑组策略控制,在Windows Server
2012以下版本的DC可以通过用户的属性 MS-DS-Machine-Account-Quota设置可添加计算机账户的数量。

1654763019_62a1ae0bc9c26c12aaca0.png!small?1654763024668

尝试直接修改机器的dnsHostName,提示出现操作错误(无法更新属性值),但是没有提示唯一性错误,因此可以猜测该值可以修改为DC的dnsHostName,但是出于某种限制,如值的类型不对或者是有某种对象的值依赖于该值导致无法成功更新修改到AD。

1654763033_62a1ae199a235daf62efc.png!small?1654763033960

观察使用账户test3创建的主机,发现其ACL信息非常有意思。虽然是test3创建的计算机账户,但是机器账户的所有者却是Domain
Admins账户。机器账户的中几条ACL信息非常有价值,分别是:

1.已验证的到DNS主机名的写入

2.已验证的到服务主体名的写入

3.已验证的到计算机属性的写入

这证明创建计算机账户的用户账户是有计算机账户的dnsHostName、servicePrincipalName和其他属性的写权限,因此修改dnsHostName属性值在ACL权限上是可行的。

1654763057_62a1ae3146d4c30eb27e5.png!small?1654763058789

通过普通域用户对其创建主机的dnsHostName进行修改,将值修改为一个不存在的主机名发现成功,因此实现本漏洞的关键是如何绕过限制进行修改。

1654763070_62a1ae3e18a11b9162757.png!small?1654763070515

在将dnsHostName从mc7.moin.com修改为xxx.moin.com时,发现该计算机账户的servicePricipalName属性也发生了变化,其中的两个字段包含了新的dnsHostName。可以推测这个属性对dnsHost
Name有依赖。

1654763088_62a1ae508ff6e9f259ec8.png!small?1654763088767

查看微软的官方文档https://docs.microsoft.com/en-us/windows/win32/adschema/r-validated-
spn,发现官方对servicePrincipalName属性的描述为“验证写入权限以启用符合计算机 DNS 主机名的 SPN
属性设置”,因此猜测是该属性中对应的值中包含现有的dnsHostName,尝试删除servicePrincipalName中包含hostHostName的值,也可直接删除servicePrincipalName属性。

在删除后,通过修改dnsHostName属性值为DC的dnHostName,发现修改成功。

1654763147_62a1ae8bad43eafd10a82.png!small?1654763147938

现在成功获得一个dnsHostName与域控相同的机器账户,由于创建账户时指定了账户密码,因此可以利用该账户欺骗AD CS获取域控权限证书。

该漏洞的主要实现过程可以总结为以下几步:

1.获取一个已知密码的计算机账户

2.删除计算机账户的servicePrincipalName属性或删除其中与dnsHostName有关的值

3.修改dnsHostName为DC的dnsHostName

最后使用该机器账户向AD CS服务器申请模版为“Machine”的证书并保存的本地,此时获取的实际是DC权限的证书。

1654763216_62a1aed04be4ed092e2d2.png!small?1654763220657

使用该证书申请TGT,能够成功获取域控账户的NT Hash,说明证书有效。这说明成功的从普通域用户权限提升到了域控权限。

1654763302_62a1af268e58fce3eafb5.png!small?1654763302655

查看AD CS服务器中的证书申请记录,也可以看出AD CS认为认为颁发的证书为DC。

1654763322_62a1af3abb9d5c08277bc.png!small?1654763323096

**03 **痕迹信息

在进行修改dnsHostName值时,会在域控产生事件ID为5136的目录服务更改日志。其中的特征为将计算机对象的dNSHostName值修改为DC的名称。

1654763337_62a1af49ec203582f166d.png!small?1654763340485

同时会产生事件ID为4742的计算机管理审核成功日志,日志信息中包含了被修改的计算机账户信息和修改后的dnsHostName信息。如若使用此漏洞后需要进行痕迹清理,这两条日志最为关键。

1654763384_62a1af781e92a58e801b4.png!small?1654763384314

**04 **总结

本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和AD
CS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。

本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。

一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。

本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

CVE-2022-26923 ADCS权限提升漏洞
渗透之路,攻防之间皆学问
05-22 5177
CVE-2022-26923是一个影响微软Active Directory证书服务(AD CS)的权限提升漏洞
ADCS-CVE-2022-26923域内提权漏洞-域控
问题很多的小明
07-10 508
本文复现了ADCS域内漏洞CVE-2022-26923
CVE-2024-21006-weblogic远程命令执行漏洞
zwy15288408160的博客
04-25 6922
Oracle WebLogic Server 存在远程命令执行漏洞CVE-2024-21006),该漏洞源于T3/IIOP协议存在缺陷,未经身份验证的攻击者可通过T3/IIOP协议受影响的服务器发送恶意的请求,利用LDAP工具执行任意代码。
CVE-2022-21882 分析&POC
qq_41252520的博客
04-29 2638
0x0 漏洞描述 该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.youkuaiyun.com/qq_41252520/article/details/119349398 主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的 user32!_xxxClientA
AD 提权-CVE-2022-26923: CertiFried
weixin_36273006的博客
06-12 44
本文通过 Google 翻译这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。
安全:软件漏洞风险评估示例 CVE-2023-45853
十年运维开发经验的王义杰在此分享自己的知识和经验
11-24 1051
如果我们的Java项目不涉及处理ZIP文件,或者我们有严格的文件验证和处理机制,那么这个漏洞的风险就会大大降低。:我们可以强调我们的系统中已经实施的安全措施,如定期的安全审计、漏洞扫描、防火墙保护等,以减轻客户的担忧。通过上述解释,我们可以有效地向客户传达对这个漏洞的认识和我们为减轻风险所采取的措施,从而减少客户的担忧。:最后,告知客户我们将持续关注官方对这一漏洞的更新和补丁,一旦有可用的修复措施,将立即采取行动。:可以指出,目前没有公开可用的利用这个漏洞的代码,这意味着攻击者利用这个漏洞的可能性较低。
CVE-2022-26937 Windows NFS 栈溢出漏洞分析
顶峰
01-31 739
运维
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
热门推荐
IronmanJay
05-17 1万+
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
CVE-2022-26923域提权漏洞
m0_46377671的博客
05-24 4213
CVE-2022-26923域提权漏洞 参考链接: http://www.ctfiot.com/40081.html https://tryhackme.com/room/cve202226923 https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click 1.漏洞背景 Windows Active Directory (AD) 不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织,其
CVE-202126855与CVE-202127065漏洞分析及复现
hongduilanjun的博客
05-09 4343
文章首发先知社区:https://xz.aliyun.com/t/10098 前言 微软在上半年三月披露了关于Exchange邮件服务器CVE-202126855(SSRF)与CVE-202127065(任意文件写入)的漏洞,这两个漏洞配合可以造成未授权的webshell写入,是非常严重的高危漏洞漏洞刚出来那会儿并未注意,正好前两天4哥在群里发了个关于该漏洞的复现环境,重新想起这个事,正好暑假也没干啥正事,借此机会复现分析一下。 CVE-202126855 CVE-202126855是⼀个SSRF
CVE-2022-40871 Dolibarr任意添加管理员与RCE漏洞分析
渗透测试研究中心
11-14 3526
0x01 漏洞简介 Dolibarr ERP & CRM <=15.0.3 is vulnerable to Eval injection. By default, any administrator can be added to the installation page of dolibarr, and if successfully added, malicious co...
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1646
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
CVE2024-1086 nftables UAF漏洞
凯峰的日志
06-12 3221
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞的提权。
CVE-2024-37032漏洞预警:尽快升级Ollama
鲁班模锤
06-27 1853
由Wiz Research发现的 CVE-2024-37032是开源 AI基础设施项目Ollama 中一个易于利用的远程代码执行漏洞。该漏洞源于平台模型服务功能中的输入验证不当。具体而言,攻击者可以通过向 Ollama 服务器发送特制请求来利用此缺陷,这可能导致在主机上执行任意代码。
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
qq_21160025的博客
06-03 1万+
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
CVE』简析CVE-2024-48795 SSH协议前缀截断攻击(Terrapin攻击)
04-15 1102
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
【春秋云境】CVE-2022-28512
ZXW_NUDT的博客
02-22 2484
【春秋云境】CVE-2022-28512
CVE-2023-2523文件上传漏洞修复建议
最新发布
07-13
<think>首先,用户的问题是关于CVE-2023-2523文件上传漏洞的修复建议。CVE-2023-2523是一个漏洞标识符,我需要回想或基于知识库提供相关信息。 从系统指令中,有引用[1],它描述了CVE-2023-2523的PoC(Proof of Concept),包括一个HTTP请求示例,用于上传恶意文件。这涉及到泛微E-Office系统的漏洞。 关键点: - 漏洞名称:CVE-2023-2523 – 泛微E-Office文件上传漏洞- PoC显示:通过POST请求上传文件,文件名被篡改(如"1.php.")来绕过安全检查。 用户要求修复方案,所以我需要提供如何修复这个漏洞的建议。 基于一般漏洞修复原则: 1. **更新软件**:应用官方补丁或升级到最新版本。 2. **安全配置**:加强文件上传功能的安全性,如限制文件类型、验证文件内容。 3. **输入验证**:确保用户输入被严格验证,防止恶意文件上传。 从引用中,漏洞涉及ajax.php文件中的mobile_upload_save动作。修复可能包括修复这个脚本。 标准修复步骤: - 检查官方公告或补丁。 - 实施安全措施,如: - 文件类型检查。 - 文件名消毒(sanitization)。 - 上传目录权限设置。 - 使用内容扫描。 我需要确保回答真实可靠。既然引用提供了PoC,我可以基于此建议修复。 回答结构: - 先解释漏洞- 然后提供修复建议。 - 最后生成相关问题。 系统指令要求: - 使用中文回答。 - 行内数学表达式用$...$,但这里可能不涉及数学。 - 独立公式用$$...$$,但这里可能不需要。 - 引用末尾添加引用标识,如[^1]。 - 生成相关问题。 用户上一次问题可能是关于漏洞复现,但当前问题是修复方案。 回答大纲: 1. **介绍漏洞**:简要描述CVE-2023-2523。 2. **修复建议**:列出具体步骤。 3. **引用**:添加引用标识。 4. **相关问题**:生成相关问题。 修复建议参考: - 官方补丁:建议用户升级泛微E-Office到修复版本。 - 自定义修复:如果没有补丁,提供临时措施,如: - 在服务器端验证文件扩展名。 - 限制上传文件类型。 - 使用.htaccess或类似机制防止执行上传目录中的脚本。 - 审计代码,确保文件上传处理安全。 从PoC看,漏洞在于允许上传.php文件,且文件名被处理不当。修复应确保: - 文件扩展名不被篡改。 - 上传的文件不被执行。 生成相关问题: 1. CVE-2023-2523的详细影响是什么? 2. 如何检测系统是否受此漏洞影响? 3. 除了泛微E-Office,其他系统有类似漏洞吗? 4. 文件上传漏洞的一般防护措施? 5. CVE-2023-2648的修复方案是什么?(因为引用中提到CVE-2023-2648) 引用标识:在回答中,如果引用信息,添加[^1]。引用来自提供的文本。 确保回答清晰、逐步解决问题。</think>### CVE-2023-2523 文件上传漏洞修复方案 CVE-2023-2523 是泛微 E-Office 系统中的一个高危文件上传漏洞,攻击者可通过构造恶意 HTTP 请求(如上传特制文件)绕过安全限制,执行任意代码(如 PHP 脚本),导致服务器被入侵。该漏洞源于 `ajax.php` 文件中的 `mobile_upload_save` 动作未对文件类型、文件名和内容进行严格验证,允许上传可执行文件(例如 `.php` 文件)[^1]。以下是基于官方建议和最佳实践的修复方案,帮助您逐步解决问题。修复应优先通过官方补丁实施,如无补丁可采取临时缓解措施。 #### 修复建议(逐步实施) 1. **应用官方补丁或升级软件**: - 立即检查泛微官方公告,下载并安装针对 CVE-2023-2523 的补丁。泛微通常会在其官网或技术支持渠道发布更新。例如,升级到 E-Office 的最新版本(如 9.0 以上),该版本修复了文件上传处理逻辑。 - **操作步骤**:登录泛微客户支持门户,搜索 CVE-2023-2523 相关补丁,按照说明进行升级。完成后,测试文件上传功能是否正常。 - **验证方法**:使用漏洞 PoC(如引用中的 HTTP 请求)尝试上传恶意文件,确认系统返回错误或拒绝执行。 2. **加强文件上传验证**: - 如果无法立即升级,修改代码以增强安全性: - **文件名消毒(Sanitization)**:在服务器端脚本(如 `ajax.php`)中,强制验证文件扩展名。例如,只允许上传安全类型(如 `.jpg`, `.png`, `.docx`),并移除文件名中的特殊字符(如 `.php.` 后缀)。 - **文件内容检查**:使用 MIME 类型检测(如 PHP 的 `finfo_file` 函数)验证文件内容是否匹配扩展名,防止伪装的恶意文件。 - **示例代码修改**(伪代码): ```php // 在 ajax.php 的 mobile_upload_save 动作中添加验证 $allowed_extensions = ['jpg', 'png', 'pdf']; // 允许的文件类型 $file_extension = pathinfo($_FILES['upload_quwan']['name'], PATHINFO_EXTENSION); if (!in_array(strtolower($file_extension), $allowed_extensions)) { die("非法文件类型,上传被拒绝。"); } // 进一步验证 MIME 类型 $file_info = finfo_open(FILEINFO_MIME_TYPE); $mime_type = finfo_file($file_info, $_FILES['upload_quwan']['tmp_name']); if ($mime_type != 'image/jpeg' && $mime_type != 'application/pdf') { // 根据允许类型调整 die("文件内容不匹配,上传失败。"); } finfo_close($file_info); ``` - **引用说明**:此修改基于漏洞 PoC 中的攻击向量(如文件名 `1.php.`),确保扩展名无法被绕过[^1]。 3. **服务器端安全加固**: - **限制上传目录权限**:设置上传目录(如 `/E-mobile/App/uploads/`)的权限为只写不可执行(例如,Linux 下使用 `chmod -R 644 uploads/`),防止上传的脚本被执行。 - **Web 服务器配置**: - 在 Apache 中,使用 `.htaccess` 文件禁止执行上传目录中的脚本: ```htaccess <Directory "/path/to/upload/directory"> Options -ExecCGI -Indexes RemoveHandler .php .phtml .phar RemoveType .php .phtml .phar php_flag engine off </Directory> ``` - 在 Nginx 中,添加 location 规则: ```nginx location ~* ^/uploads/.*\.(php|phtml)$ { deny all; } ``` - **Web 应用防火墙(WAF)**:部署 WAF(如 ModSecurity),添加规则阻止恶意上传请求。例如,规则可检测 `filename=".*\.php"` 的模式。 4. **审计与监控**: - **代码审计**:检查所有文件上传点(包括自定义模块),确保类似漏洞(如 CVE-2023-2648)也被修复。 - **日志监控**:启用服务器访问日志和错误日志,监控可疑上传行为(如频繁请求 `/ajax.php?action=mobile_upload_save`)。使用工具(如 ELK Stack)分析日志。 - **渗透测试**:雇佣安全团队进行测试,确认修复效果。 #### 注意事项 - **风险提示**:未修复此漏洞可能导致远程代码执行(RCE)、数据泄露或系统瘫痪。建议在 24 小时内实施修复。 - **官方资源**:泛微官方可能提供详细补丁说明,参考其安全公告[^1]。 - **备份先行**:修改代码或升级前,务必备份系统和数据库,以防意外中断。 如果您有更多细节(如当前系统版本),我可提供更针对性的建议。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值