聲明：本人所分享內容僅用于網安愛好者之間的技術討論，禁止用于違法途徑，所有滲透都需獲取授權！否則需自行承擔，本人及原作者不承擔相應的后果、

MS14-068

kerberos認證，no PAC

用戶在向 Kerberos 密鑰分發中心（KDC）申請TGT（由票據授權服務產生的身份憑證）時，可以偽造自己的 Kerberos 票據

漏洞效果：

將任意域用戶提升到域管權限

利用條件：

1.小于2012R2的域控 沒有打MS14-068的補丁(KB3011780)

2.拿下一臺加入域的計算機

3.有這臺域內計算機的域用戶密碼和Sid

利用方式：

在《Kerberos認證及過程中產生的攻擊》一文中有詳細講

這可以看 https://cloud.tencent.com/developer/article/1760132

CVE-2020-1472

NetLogon特權提升漏洞(CVE-2020-1472)是一個windows域控中嚴重的遠程權限提升漏洞。

Netlogon使用的AES認證算法中的vi向量默認為0，導致攻擊者可以繞過認證，同時其設置域控密碼的遠程接口也使用了該函數，導致

以將域控機器用戶的password設置為空。

這樣我們就可以導域管hash，最后再還原域控機器用戶的密碼

漏洞效果：

可利用此漏洞獲取域管訪問權限

影響版本：

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012Windows Server 2012 (Server Core installation)
Windows Server 2012 R2Windows Server 2012 R2 (Server Core installation)
Windows Server 2016Windows Server 2016 (Server Core installation)
Windows Server 2019Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)Windows Server, version 2004 (Server Core installation)

利用方式：

準備工具：
Impacket工具包：https://github.com/SecureAuthCorp/impacket.git
poc：https://github.com/SecuraBV/CVE-2020-1472.git
exp：https://github.com/dirkjanm/CVE-2020-1472
exp：https://github.com/risksense/zerologon

https://cloud.tencent.com/developer/article/1780108

https://cloud.tencent.com/developer/article/1837483

CVE-2021-42287&42278

Windows域服務權限提升漏洞（CVE-2021-42287, CVE-2021-42278）是由于Active Directory 域服務沒有進行適當的安全限制，導致可繞過安全限制進行權限提升。攻擊者可利用該漏洞造成將域內的普通用戶權限提升到域管理員權限

漏洞效果：

將任意域用戶提升到域管權限

影響版本：

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server, version 20H2 (Server Core Installation)
Windows Server, version 2004 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019

利用條件：

（1）一個普通域成員帳戶

（2）域用戶有創建機器用戶的權限（一般默認權限）

（3）DC未打補丁KB5008380或KB5008602

利用方式：

https://github.com/WazeHell/sam-the-admin
https://github.com/Ridter/noPac

https://blog.csdn.net/FHLZLHQ/article/details/121964692

CVE-2021-1675/CVE-2021-34527

PrintNightmare 此漏洞一開始為CVE-2021-1675，隨后微軟把此漏洞分配給了CVE-2021-34527，并提到了兩個漏洞很像，但是攻擊向量是不同的。

Print Spooler是Windows系統中管理打印相關事務的服務，用于管理所有本地和網絡打印隊列并控制所有打印工作。Windows系統默認開啟 Print Spooler 服務，普通用戶可以利用此漏洞提升至SYSTEM管理權限。

漏洞效果：

未經身份驗證的遠程攻擊者可利用該漏洞以SYSTEM權限在域控制器上執行任意代碼，從而獲得整個域的控制權

影響版本：

Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows Server, version 2004 (Server Core installation)
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems

利用場景

• 在工作組環境下，可通過該漏洞獲取系統最高權限；
• 域環境下，直接攻擊域控制器可以獲取域控的SYSTEM權限，執行任意代碼；
• 可用于持久化的操作，得到域控后，在有共享目錄、能訪問到域控的情況下，遠程的加載共享目錄下的DLL。

利用條件

• 目標開啟Spooler服務；
• 一個普通權限的域賬戶；
• 創建的smb服務允許匿名訪問，即目標可以直接獲取到文件。

利用方式

https://github.com/cube0x0/CVE-2021-1675




https://github.com/cube0x0/impacket  

https://github.com/3gstudent/Invoke-BuildAnonymousSMBServerhttps://bewhale.github.io/posts/29501.html

https://mp.weixin.qq.com/s/1sR0wTyJFf5UnuPjtJ-DWw

CVE-2019-1040

2019年6月，Microsoft發布了一條安全更新。該更新針對CVE-2019-1040漏洞進行修復。此次漏洞，攻擊者可以通過中間人攻擊，繞過NTLM MIC（消息完整性檢查）保護，將身份驗證流量中繼到目標服務器。

漏洞效果

通過這種攻擊使得攻擊者在僅有一個普通域賬號的情況下可以遠程控制 Windows 域內的任何機器，包括域控服務器。

影響版本

Windows 7 sp1 至Windows 10 1903

Windows Server 2008 至Windows Server 2019

利用場景

對于特定環境， CVE-2019-1040漏洞的攻擊鏈目前已經確定的兩種攻擊途徑：

1、攻擊域Exchange Server （下面以這種途徑來描述）

2、攻擊域AD Server（結合基于資源的約束委派）

利用條件

A、Exchange服務器可以是任何版本（包括為PrivExchange修補的版本）。唯一的要求是，在以共享權限或RBAC模式安裝，Exchange默認具有高權限。B、域內任意賬戶。（由于能產生SpoolService錯誤的唯一要求是任何經過身份驗證的域內帳戶） C、CVE-2019-1040漏洞的實質是NTLM數據包完整性校驗存在缺陷，故可以修改NTLM身份驗證數據包而不會使身份驗證失效。而此攻擊鏈中攻擊者刪除了數據包中阻止從SMB轉發到LDAP的標志。D、構造請求使Exchange Server向攻擊者進行身份驗證，并通過LDAP將該身份驗證中繼到域控制器，即可使用中繼受害者的權限在Active Directory中執行操作。比如為攻擊者帳戶授予DCSync權限。E、如果在可信但完全不同的AD林中有用戶，同樣可以在域中執行完全相同的攻擊。（因為任何經過身份驗證的用戶都可以觸發SpoolService反向連接）

漏洞利用攻擊鏈

1、使用域內任意帳戶，通過SMB連接到被攻擊ExchangeServer，并指定中繼攻擊服務器。同時必須利用SpoolService錯誤觸發反向SMB鏈接。2、中繼服務器通過SMB回連攻擊者主機，然后利用ntlmrelayx將利用CVE-2019-1040漏洞修改NTLM身份驗證數據后的SMB請求據包中繼到LDAP。3、使用中繼的LDAP身份驗證，此時Exchange Server可以為攻擊者帳戶授予DCSync權限。4、攻擊者帳戶使用DCSync轉儲AD域中的所有域用戶密碼哈希值（包含域管理員的hash，此時已拿下整個域）。

利用方式：

https://github.com/SecureAuthCorp/impacket

https://github.com/dirkjanm/krbrelayx




https://github.com/Ridter/CVE-2019-1040




https://github.com/Ridter/CVE-2019-1040-dcpwn同一網段內：https://www.freebuf.com/vuls/274091.html

隧道下：https://zhuanlan.zhihu.com/p/142080911

CVE-2019-1040+RBCD(基于資源的約束性委派)+PetitPatom

域委派攻擊

https://mp.weixin.qq.com/s/GdmnlsKJJXhElA4GuwxTKQ

NTLM Relay

https://www.anquanke.com/post/id/193149

https://www.anquanke.com/post/id/193493

https://www.anquanke.com/post/id/194069

https://www.anquanke.com/post/id/194514

ADCS漏洞--ESC8(PetitPotam)(ADCS relay)

ESC8是一個http的ntlm relay，原因在于ADCS的認證中支持NTLM認證

漏洞效果：

將普通域用戶提升到域管權限

利用條件：

1.未打adcs的補丁 2.有兩臺域控 3.有adcs服務

利用方式：

https://blog.csdn.net/qq_43645782/article/details/119322322

https://forum.butian.net/share/1583

ADCS漏洞--CVE-2022–26923

漏洞影響: 允許低權限用戶在安裝了 Active Directory 證書服務 (AD CS) 服務器角色的默認 Active Directory 環境中將權限提升到域管理員

漏洞組件：活動目錄證書服務(Active Directory Certificate Services,AD CS)

漏洞簡述：通過構造機器賬戶并篡改dNSHostName屬性，在證書申請時AD CS將dNSHostName屬性嵌入證書中，進而機器賬戶獲得高權限的域控身份。

受影響的 Windows 版本：

Windows 8.1

Windows 10 Version 1607, 1809,1909, 2004, 20H2, 21H1, 21H2

Windows 11

Windows Server 2008，2012，2016，2019，2022

利用先決條件：

CVE-2022-26923/CVE-2022-26931漏洞與2021年CVE-2021-42278/CVE-2021-42287sAMAccountName spoofing漏洞類似，均通過利用偽造域控制器名稱身份來進行相關的提權操作。它的利用先決條件為：

1. 該提權漏洞適用于所有的Windows服務器活動目錄版本，包含目前位于微軟產品支持范圍內的Windows Server 2012 R2到Windows Server 2022，以及超出產品支持范圍的舊Windows服務器版本。
2. 入侵者至少控制一個活動目錄用戶賬戶，該用戶賬戶對于活動目錄中至少一個計算機賬戶具有“Validated write to DNS host name”權限。默認情況下，單個活動目錄普通域用戶可以加入或創建（包含創建空賬戶）10個計算機賬戶到活動目錄中，并對自己所加入/創建的計算機賬戶具有CREATOR OWNER管理權限（包含“Validated write to DNShost name”權限）。因此該權限較為容易獲得。
3. 在活動目錄內部部署有企業證書服務，并允許上述被控制的計算機賬戶申請計算機身份驗證證書。企業證書服務是活動目錄中廣泛部署的一種相關基礎服務，并且默認情況下，與活動目錄集成的企業證書服務默認即允許域內計算機申請計算機身份驗證證書。

復現參考：

https://forum.butian.net/share/1578

https://forum.butian.net/share/1583

Exchange相關，可控制Exchange服務器

Exchange在域內有著重要的地位，一般來說，拿到Exchange服務器的權限，基本等同于拿到域管的權限。拿到Exchange服務器，有很大概率就是域管直接登錄的。或者域管曾經登錄過。拿到Exchange服務器權限的時候，可以嘗試直接dir下域控的C盤，看有沒有權限。如果沒有權限，再嘗試使用mimikatz抓一波密碼，很大概率可以直接抓到域管或者高權限用戶。而且就算是高版本的server，在Exchange上也能抓到明文密碼。

CVE-2018-8581 （拿域控）

漏洞描述：

該漏洞利用了 Exchange 服務器的 SSRF 和高權限的請求，導致擁有合法郵箱憑證的用戶可以被提升至域管權限

影響范圍：

 Exchange Server 2010
 Exchange Server 2013
 Exchange Server 2016

利用條件：

Exchange 默認配置下，攻擊者擁有合法的郵箱用戶憑證，同時，該漏洞利用是通過 NTLM Relay的方式進行提權，因此攻擊者需要已經在內網環境中取得可用主機。

漏洞簡介：

該漏洞的發生源于幾個方面：

• 首先，Exchange 允許任意用戶（只要是通過了認證的）通過 EWS 接口來創建一個推送訂閱（Push Subscription），并可以指定任意 URL 作為通知推送的目的地；
• 其次，通知被訂閱推送后，當觸發推送時，Exchange 使用了 CredentialCache 類的 DefaultCredentials 屬性，由于 EWS 以 SYSTEM 權限運行，當使用 DefaultCredentials 時發出的 HTTP 請求將使用該權限發起 NTLM 認證；
• 在 EWS 請求中，通過在 Header 中使用 SerializedSecurityContext，指定 SID 可以實現身份偽裝，從而以指定用戶身份進行 EWS 調用操作。

也就是說【我們可以控制Exchange服務器向我們發起HTTP 協議的NTLM 請求，這樣我們就能拿到Exchange機器用戶的 Net-Ntlm Hash】

由于該漏洞利用涉及 NTLM 的重放攻擊，一種很容易想到的思路就是將該憑證重放到域控機器。由于重放的 NTLM 憑證來自 Exchange 服務器的機器用戶權限，根據Relay To LDAP一節的描述，我們知道Exchange機器用戶具有write-acl權限，可以給任意用戶提權，賦予Dcsync的權限，從而dump出所有密碼哈希值。

服務端是否要求簽名：

我們Relay到的服務端是Ldap,在前面【ldap簽名】一節提到，Ldap服務器的默認策略是協商簽名。是否簽名是由客戶端決定的。客戶端分情況，如果是smb協議的話，默認要求簽名的，如果是webadv或者http協議，是不要求簽名的

在這個漏洞里面發起的請求是http協議，這也就意味著我們什么都不用做，在這個漏洞中并不要求簽名。

EXP :

https://github.com/Ridter/Exchange2domain




#也可以使用 ntlmrelayx.py+privexchange.py+secretdump.py

https://github.com/dirkjanm/privexchange

https://github.com/SecureAuthCorp/impacket復現可以參考這篇文章：

https://www.jianshu.com/p/e081082cbc73CVE-2020-0688 （RCE)

漏洞描述：當攻擊者通過各種手段獲得一個可以訪問Exchange Control Panel （ECP）組件的用戶賬號密碼，就可以在被攻擊的exchange上執行任意代碼，直接獲取服務器權限。

利用條件：Exchange Server 2010 SP3/2013/2016/2019，普通賬號。

攻擊腳本：

https://github.com/zcgonvh/CVE-2020-0688

https://github.com/random-robbie/cve-2020-0688復現：

https://www.anquanke.com/post/id/226543#h3-13

CVE-2020-17144 （RCE)

漏洞描述：遠程攻擊者通過構造特殊的cmdlet參數，繞過身份驗證利用改漏洞可造成任意遠程命令執行。

利用條件：Exchange2010，普通賬號。

攻擊腳本1：

https://github.com/Airboi/CVE-2020-17144-EXP攻擊腳本2：

https://github.com/zcgonvh/CVE-2020-17144

CVE-2020-17144 <target> <user> <pass>CVE-2020-16875 （RCE)

漏洞描述：遠程攻擊者通過構造特殊的cmdlet參數，可造成任意命令執行。

影響版本

Exchange Server 2016 CU17

Exchange Server 2016 CU16（已測）

Exchange Server 2019 CU5

Exchange Server 2019 CU6

利用條件：Exchange Server 2016/2019，普通賬號。

攻擊腳本：

https://srcincite.io/pocs/cve-2020-16875.py.txt復現：https://cloud.tencent.com/developer/article/1704777CVE-2021-26855/CVE-2021-27065（getshell）（SSRF+任意文件寫入）

Exchange ProxyLogon遠程代碼執行漏洞

漏洞概述：

CVE-2021-26855與CVE-2021-27065是微軟在2021年3月2日發布的高危漏洞公告。這套組合拳被稱為ProxyLogon，可直接獲取目標郵件服務器主機權限。

CVE-2021-26855 SSRF 漏洞 ，該漏洞是Exchange中的服務端請求偽造漏洞（SSRF），利用此漏洞的攻擊者能夠發送任意HTTP請求并繞過Exchange Server身份驗證，遠程未授權的攻擊者可以利用該漏洞以進行內網探測，并可以用于竊取用戶郵箱的全部內容。

CVE-2021-27065 任意文件寫入漏洞，該漏洞是Exchange中的任意文件寫入漏洞。該漏洞需要進行身份認證，利用此漏洞可以將文件寫入服務器上的任何路徑。并可以結合利用CVE-2021-26855 SSRF漏洞可繞過權限認證進行文件寫入。

影響范圍:

Exchange Server 2019 < 15.02.0792.010

Exchange Server 2019 < 15.02.0721.013

Exchange Server 2016 < 15.01.2106.013

Exchange Server 2013 < 15.00.1497.012

利用原理：

通過ssrf漏洞讀取到郵箱用戶的SID——>通過有效SID結合任意文件寫入漏洞上傳以.aspx結尾的文件，在其中插入一句話木馬——>造成交互式shell。

利用條件：

需要郵箱用戶名稱

該漏洞不同于以往的 exchange 漏洞，此漏洞并不需要一個可登錄的用戶身份，可以在未授權的情況下獲取內部用戶資源，配合 CVE-2021-27065 可以實現遠程命令執行。

漏洞觸發必要條件

• 目標服務器存在漏洞
• 目標 exchange 服務器必須為負載均衡服務器，即同時使用兩臺及以上服務器
• 目標郵箱地址，注意，該地址需要為域內郵件地址而非郵箱地址，二者存在差異
• 攻擊者還必須標識內部Exchange服務器的完全限定域名（FQDN）

以上四項中，FQDN 可以通過 ntlm type2 消息抓取；郵件地址可以直接枚舉。

利用CVE-2021-26855 SSRF漏洞枚舉郵箱：

(工具：https://github.com/charlottelatest/CVE-2021-26855)

因為我們通過nmap獲取了域名。user.txt里面為我們加入的郵箱名字典

go run CVE-2021-26855.go -h 192.168.110.152 -U user.txt

利用方式：

https://github.com/hausec/ProxyLogon  （一鍵利用）




https://github.com/charlottelatest/CVE-2021-26855  (k)

https://github.com/herwonowr/exprolog復現：

https://blog.csdn.net/qq_44159028/article/details/123825115

分析與復現：

https://www.anquanke.com/post/id/259902

CVE-2021-34473 (RCE) （SSRF）

Exchange ProxyShell SSRF

漏洞描述：

攻擊者利用該漏洞可繞過相關權限驗證，進而配合其他漏洞可執行任意代碼，控制Microsoft Exchange Server。

ProxyShell攻擊鏈利用使用了以下漏洞：

CVE-2021-34473 Microsoft Exchange ACL繞過漏洞

CVE-2021-34523 Microsoft Exchange權限提升漏洞

CVE-2021-31207 Microsoft Exchange授權任意文件寫入漏洞

微軟官方于 2021年4月已發布相關補丁，2021年7月發布漏洞通告，可前往微軟官方下載相應補丁進行更新：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

影響版本

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

利用條件：

僅僅需要郵箱用戶名稱(用戶名即可))

利用方法：

https://github.com/ktecv2000/ProxyShell




https://github.com/Ridter/proxyshell_payload

https://github.com/dmaasland/proxyshell-poc復現：

https://www.cnblogs.com/colin-B/p/15783751.html

https://blog.csdn.net/qq_40989258/article/details/119750829

CVE-2022-41028(RCE)

Microsoft Exchange Server 存在遠程代碼執行漏洞，經過身份驗證的攻擊者可利用此漏洞在目標系統上執行任意代碼。

文章來源：作者：HackingCost，文章轉載于github；