CVE-2022–26923漏洞分析

最新推荐文章于 2025-06-12 05:30:22 发布
原创 最新推荐文章于 2025-06-12 05:30:22 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文介绍了一个AD域权限提升漏洞CVE-2022–26923,该漏洞允许攻击者通过操纵计算机账户属性假冒DC从ADCS服务器获取证书,从而提升至域管理员权限。文章详细分析了漏洞原理及复现步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞简介

2022年5月10日,微软发布补丁修复了一个
AD域权限提升漏洞(CVE-2022–26923)。该漏洞是由于在申请证书时对AD域中的计算机账户身份审核不够严格,经过身份验证的攻击者可以操纵他们拥有或管理的计算机帐户的属性,假冒DC从AD
CS 服务器获取DC证书,最终导致普通权限用户提升至域管理员权限。这一漏洞最早由安全研究员Oliver
Lyak在2021年12月14日报告给微软,微软在2022年5月的安全更新中对其进行了修补。

**01 **AD CS身份识别

默认情况下,CA允许域用户注册User模板证书,允许域计算机注册Machine模板证书。两个证书模板都允许客户端身份验证。这意味着颁发的证书可用于通过PKINIT
Kerberos 扩展对KDC进行身份验证。

通过对比User和DomainController两个模板的msPKI-Certificate-Name-
Flag属性可以看到User模版包含SUBJECT_ALT_REQUIRE_UPN,DomainController包含
SUBJECT_ALT_REQUIRE_DNS。这两个字段分别标识证书中的用户和计算机的身份,用于CA识别证书的所有者。

如当我们使用User模板请求证书时,用户帐户的UPN将嵌入到证书中。在进行进行身份验证时,KDC会尝试将 UPN 从证书映射到用户。

1654762869_62a1ad75c14ed039fee78.png!small?1654762870090

尝试修改用户的UPN属性,如果能够将该属性修改为AD管理员账号的UPN,则可以实现欺骗AD
CS获取AD管理员权限证书,但是实际上DC会对UPN检查保持全林唯一。

1654762987_62a1adeb1124bdd2994d9.png!small?1654762987426

虽然UPN无法假冒,但是不代表dnsHostName不可以假冒。在MS-ADTS(3.1.1.5.1.3
唯一性约束)文档中并没有标识dnsHostName属性具有唯一性。实际上,通过下面的漏洞分析也可以发现实际这个属性可以重复,这也是这个漏洞产生的主要原因。

**02 **漏洞分析复现

成功利用该漏洞需要满足以下几个必要条件:

1、攻击者获取到一个通过认证的普通域用户凭据或计算机账户凭据

2、AD 域内已配置了 AD CS 服务

3、Machine模板证书可以自动申请

首先第一步需要获得一个已知凭据的计算机账户,如果没有可以使用普通账户通过Impacket创建一个新的计算机账户。

1654763011_62a1ae03e89d9269f0f3e.png!small?1654763012649

默认情况下每个普通用户都拥有添加10个机器账户的权限,添加机器权限可以通过编辑组策略控制,在Windows Server
2012以下版本的DC可以通过用户的属性 MS-DS-Machine-Account-Quota设置可添加计算机账户的数量。

1654763019_62a1ae0bc9c26c12aaca0.png!small?1654763024668

尝试直接修改机器的dnsHostName,提示出现操作错误(无法更新属性值),但是没有提示唯一性错误,因此可以猜测该值可以修改为DC的dnsHostName,但是出于某种限制,如值的类型不对或者是有某种对象的值依赖于该值导致无法成功更新修改到AD。

1654763033_62a1ae199a235daf62efc.png!small?1654763033960

观察使用账户test3创建的主机,发现其ACL信息非常有意思。虽然是test3创建的计算机账户,但是机器账户的所有者却是Domain
Admins账户。机器账户的中几条ACL信息非常有价值,分别是:

1.已验证的到DNS主机名的写入

2.已验证的到服务主体名的写入

3.已验证的到计算机属性的写入

这证明创建计算机账户的用户账户是有计算机账户的dnsHostName、servicePrincipalName和其他属性的写权限,因此修改dnsHostName属性值在ACL权限上是可行的。

1654763057_62a1ae3146d4c30eb27e5.png!small?1654763058789

通过普通域用户对其创建主机的dnsHostName进行修改,将值修改为一个不存在的主机名发现成功,因此实现本漏洞的关键是如何绕过限制进行修改。

1654763070_62a1ae3e18a11b9162757.png!small?1654763070515

在将dnsHostName从mc7.moin.com修改为xxx.moin.com时,发现该计算机账户的servicePricipalName属性也发生了变化,其中的两个字段包含了新的dnsHostName。可以推测这个属性对dnsHost
Name有依赖。

1654763088_62a1ae508ff6e9f259ec8.png!small?1654763088767

查看微软的官方文档https://docs.microsoft.com/en-us/windows/win32/adschema/r-validated-
spn,发现官方对servicePrincipalName属性的描述为“验证写入权限以启用符合计算机 DNS 主机名的 SPN
属性设置”,因此猜测是该属性中对应的值中包含现有的dnsHostName,尝试删除servicePrincipalName中包含hostHostName的值,也可直接删除servicePrincipalName属性。

在删除后,通过修改dnsHostName属性值为DC的dnHostName,发现修改成功。

1654763147_62a1ae8bad43eafd10a82.png!small?1654763147938

现在成功获得一个dnsHostName与域控相同的机器账户,由于创建账户时指定了账户密码,因此可以利用该账户欺骗AD CS获取域控权限证书。

该漏洞的主要实现过程可以总结为以下几步:

1.获取一个已知密码的计算机账户

2.删除计算机账户的servicePrincipalName属性或删除其中与dnsHostName有关的值

3.修改dnsHostName为DC的dnsHostName

最后使用该机器账户向AD CS服务器申请模版为“Machine”的证书并保存的本地,此时获取的实际是DC权限的证书。

1654763216_62a1aed04be4ed092e2d2.png!small?1654763220657

使用该证书申请TGT,能够成功获取域控账户的NT Hash,说明证书有效。这说明成功的从普通域用户权限提升到了域控权限。

1654763302_62a1af268e58fce3eafb5.png!small?1654763302655

查看AD CS服务器中的证书申请记录,也可以看出AD CS认为认为颁发的证书为DC。

1654763322_62a1af3abb9d5c08277bc.png!small?1654763323096

**03 **痕迹信息

在进行修改dnsHostName值时,会在域控产生事件ID为5136的目录服务更改日志。其中的特征为将计算机对象的dNSHostName值修改为DC的名称。

1654763337_62a1af49ec203582f166d.png!small?1654763340485

同时会产生事件ID为4742的计算机管理审核成功日志,日志信息中包含了被修改的计算机账户信息和修改后的dnsHostName信息。如若使用此漏洞后需要进行痕迹清理,这两条日志最为关键。

1654763384_62a1af781e92a58e801b4.png!small?1654763384314

**04 **总结

本次漏洞产生的主要原因是计算机账户关键属性的ACL设置问题和AD
CS检查客户端身份不严格导致,结合之前的samAccountName欺骗漏洞,AD域中涉及身份认证标识的问题不止一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。

本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。

一次,微软在AD域中不用具有唯一性的自动编号字段SID而是其他字段作为身份认证标识在安全方面着实欠妥。

本次漏洞利用简单,流量特征不明显难以检测,同时获取的AD域证书有效时间长,因此对于AD域的提权和权限维持都有很高的利用价值。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【扫下方二维码】就可以领取了,无偿分享

AIGC阿道夫
关注
CVE-2022-26923 ADCS权限提升漏洞
渗透之路,攻防之间皆学问
05-22 5173
CVE-2022-26923是一个影响微软Active Directory证书服务(AD CS)的权限提升漏洞
ADCS-CVE-2022-26923域内提权漏洞-域控
问题很多的小明
07-10 507
本文复现了ADCS域内漏洞CVE-2022-26923
CVE-2024-21006-weblogic远程命令执行漏洞
zwy15288408160的博客
04-25 6892
Oracle WebLogic Server 存在远程命令执行漏洞CVE-2024-21006),该漏洞源于T3/IIOP协议存在缺陷,未经身份验证的攻击者可通过T3/IIOP协议受影响的服务器发送恶意的请求,利用LDAP工具执行任意代码。
CVE-2022-21882 分析&POC
qq_41252520的博客
04-29 2601
0x0 漏洞描述 该漏洞的成因和CVE-2021-1732类似,如果不了解,请先阅读我之前的分析:https://blog.youkuaiyun.com/qq_41252520/article/details/119349398 主要因为xxxClientAllocExtraBytesFunc\textcolor{cornflowerblue}{xxxClientAllocExtraBytesFunc}xxxClientAllocExtraBytesFunc函数会回调用户空间中的 user32!_xxxClientA
AD 提权-CVE-2022-26923: CertiFried
weixin_36273006的博客
06-12 43
本文通过 Google 翻译这篇文章所产生,本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。
安全:软件漏洞风险评估示例 CVE-2023-45853
十年运维开发经验的王义杰在此分享自己的知识和经验
11-24 1049
如果我们的Java项目不涉及处理ZIP文件,或者我们有严格的文件验证和处理机制,那么这个漏洞的风险就会大大降低。:我们可以强调我们的系统中已经实施的安全措施,如定期的安全审计、漏洞扫描、防火墙保护等,以减轻客户的担忧。通过上述解释,我们可以有效地向客户传达对这个漏洞的认识和我们为减轻风险所采取的措施,从而减少客户的担忧。:最后,告知客户我们将持续关注官方对这一漏洞的更新和补丁,一旦有可用的修复措施,将立即采取行动。:可以指出,目前没有公开可用的利用这个漏洞的代码,这意味着攻击者利用这个漏洞的可能性较低。
CVE-2022-26937 Windows NFS 栈溢出漏洞分析
顶峰
01-31 737
运维
CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
热门推荐
IronmanJay
05-17 1万+
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。
WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661.pdf
09-27
【WordPress 5.8.3 SQL注入漏洞 CVE-2022-21661】是一个近期发现的安全问题,涉及到WordPress的核心函数`WP_Query`。这个漏洞并非直接的SQL注入,但因为`WP_Query`经常被WordPress插件广泛使用,所以其潜在的危害...
CVE-2022-26923域提权漏洞
m0_46377671的博客
05-24 4211
CVE-2022-26923域提权漏洞 参考链接: http://www.ctfiot.com/40081.html https://tryhackme.com/room/cve202226923 https://www.bilibili.com/video/BV1hL4y1F79y?spm_id_from=333.337.search-card.all.click 1.漏洞背景 Windows Active Directory (AD) 不仅用于身份和访问管理,还提供大量服务来帮助您运行和管理您的组织,其
CVE-202126855与CVE-202127065漏洞分析及复现
hongduilanjun的博客
05-09 4337
文章首发先知社区:https://xz.aliyun.com/t/10098 前言 微软在上半年三月披露了关于Exchange邮件服务器CVE-202126855(SSRF)与CVE-202127065(任意文件写入)的漏洞,这两个漏洞配合可以造成未授权的webshell写入,是非常严重的高危漏洞漏洞刚出来那会儿并未注意,正好前两天4哥在群里发了个关于该漏洞的复现环境,重新想起这个事,正好暑假也没干啥正事,借此机会复现分析一下。 CVE-202126855 CVE-202126855是⼀个SSRF
CVE-2022-40871 Dolibarr任意添加管理员与RCE漏洞分析
渗透测试研究中心
11-14 3524
0x01 漏洞简介 Dolibarr ERP & CRM <=15.0.3 is vulnerable to Eval injection. By default, any administrator can be added to the installation page of dolibarr, and if successfully added, malicious co...
2024年网络安全最全CVE-2024-32532 认证绕过漏洞分析
2401_84281703的博客
05-03 1640
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化资料的朋友,可以点击这里获取。
CVE2024-1086 nftables UAF漏洞
凯峰的日志
06-12 3211
具作者介绍,该漏洞影响从 v5.14(包括)到 v6.6(包括)的版本,但不包括已修补的分支 v5.15.149>、v6.1.76>、v6.6.15>。关闭nf_tables模块只要使用的还是iptables基本就没啥影响,只是新的类似于iptables防火墙功能的nft无法使用而已。一次,而不需要``make clean`.另外编译新内核时候不要使用其他人分享的内核的config编译参数文件,可能会直接系统开不了机,尽量使用内核自带的config编辑。样例用的6.3.13复现该漏洞的提权。
CVE-2024-37032漏洞预警:尽快升级Ollama
鲁班模锤
06-27 1843
由Wiz Research发现的 CVE-2024-37032是开源 AI基础设施项目Ollama 中一个易于利用的远程代码执行漏洞。该漏洞源于平台模型服务功能中的输入验证不当。具体而言,攻击者可以通过向 Ollama 服务器发送特制请求来利用此缺陷,这可能导致在主机上执行任意代码。
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞修复方法--多种方式,亲测!!!
qq_21160025的博客
06-03 1万+
CVE-2024-1086 Linux kernel nf_tables 本地提权漏洞
CVE』简析CVE-2024-48795 SSH协议前缀截断攻击(Terrapin攻击)
04-15 1102
最近很多小伙伴找我要Linux学习资料,于是我翻箱倒柜,整理了一些优质资源,涵盖视频、电子书、PPT等共享给大家!
【春秋云境】CVE-2022-28512
ZXW_NUDT的博客
02-22 2483
【春秋云境】CVE-2022-28512
CVE-2025-3234
最新发布
06-15
嗯,用户想了解CVE-2025-3234漏洞的详情和修复方案。这个漏洞涉及WordPress的FileManagerPro插件。...[^1]: 漏洞披露来源:CVE-2025-3234 POC分析报告(File Manager Pro – Filester插件安全公告)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值