目录
介绍
sAMAccountName Spoofing漏洞
CVE-2021-42278,机器账户的名字⼀般来说应该以$
结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以$
结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。
bash
假如域内有⼀台域控名为 DC(域控对应的机器⽤户为DC$),此时攻击者利⽤漏洞 CVE-2021-42278 创建⼀个机器⽤户 purplet$,再把机器⽤户purplet$ 的 sAMAccountName 改成 DC。然后利⽤ DC 去申请⼀个TGT票据。再把 DC 的sAMAccountName 改为 purplet$。这个时候 KDC 就会判断域内没有 DC 和这个⽤户,⾃动去搜索 DC$(DC$是域内已经存在的域控DC 的 sAMAccountName ),攻击者利⽤刚刚申请的 TGT 进⾏S4u2self,模拟域内的域管去请求域控 DC 的ST 票据,最终获得域控制器DC的权限。
步骤
根据题目信息得知,hr收到一份简历
可以看到docx后缀文件图标不同于正常word文件
打开原文件的压缩包,压缩包内的文件后缀名为exe,所以判断攻击发生在域成员Win10机器,点击了写有恶意代码的程序
根据应急事件的描述,可以判断恶意程序可以达到火绒安全软件免杀。
去查看域控的相关内容,根据导出的E01
镜像和相关文件,通过FTK Imager打开E01镜像文件
打开镜像文件系统中的C盘
打开日志文件的目录Windows\System32\winevt\Logs
将Security.evtx导出,查看日志内容,这是一个凭据验证的类型,因为攻击者利用的sAMAccountName Spoofing漏洞是抓取用户凭据登陆,肯定涉及到凭据验证的事件。事件的信息显示登陆账户是liuming,源工作站是root,根据网络拓扑图可知,域内环境没有Linux服务器,liuming机器可能被控制用于对域控制器的攻击。这个事件附近有多次登录和凭据的验证。
在后续事件中,可以看到Kerberos身份验证服务
可以看到计算机账户创建了一个用户
在后续事件中,可以看到使用Administrator进行了特殊登录
再次校验是否为sAMAccountName Spoofing漏洞攻击,利用导出的ADSI_CN=Computers.txt文件和ADSI_CN=Users.txt做对比
可以看到mS-DS-CreatorSID
也就创建者的SID和liuming账户的objectSid
相对应,由此可知是由攻击者利用liuming用户建立了一个Desktop机器。正常情况下,liuming的域账户权限不足以创建,可能是攻击者使用一个高权限的票据。再对Win7机器进行排查
运行输入mstsc
打开远程控制,输入IP和用户名VULNTARGET\Administrator
利用密码Admin@123!
登陆
在Windows7远程桌面下查找,发现C:\Windows\System32目录下被攻击者上传了mimikatz,mimikatz常用于获取用户凭据
查看mimikatz文档,可以发现攻击者攻击的流程,因为Win7特殊的特性,mimikatz直接抓取了明文密码
可能Win7的永恒之蓝漏洞,成功获取了权限。用Win7的账户密码攻击了域控制器