域渗透应急响应

目录

介绍

sAMAccountName Spoofing漏洞

CVE-2021-42278,机器账户的名字⼀般来说应该以$结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以$结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。

bash 复制代码
假如域内有⼀台域控名为 DC(域控对应的机器⽤户为DC$),此时攻击者利⽤漏洞 CVE-2021-42278 创建⼀个机器⽤户 purplet$,再把机器⽤户purplet$ 的 sAMAccountName 改成 DC。然后利⽤ DC 去申请⼀个TGT票据。再把 DC 的sAMAccountName 改为 purplet$。这个时候 KDC 就会判断域内没有 DC 和这个⽤户,⾃动去搜索 DC$(DC$是域内已经存在的域控DC 的 sAMAccountName ),攻击者利⽤刚刚申请的 TGT 进⾏S4u2self,模拟域内的域管去请求域控 DC 的ST 票据,最终获得域控制器DC的权限。

步骤

根据题目信息得知,hr收到一份简历

可以看到docx后缀文件图标不同于正常word文件

打开原文件的压缩包,压缩包内的文件后缀名为exe,所以判断攻击发生在域成员Win10机器,点击了写有恶意代码的程序

根据应急事件的描述,可以判断恶意程序可以达到火绒安全软件免杀。

去查看域控的相关内容,根据导出的E01镜像和相关文件,通过FTK Imager打开E01镜像文件



打开镜像文件系统中的C盘

打开日志文件的目录Windows\System32\winevt\Logs

将Security.evtx导出,查看日志内容,这是一个凭据验证的类型,因为攻击者利用的sAMAccountName Spoofing漏洞是抓取用户凭据登陆,肯定涉及到凭据验证的事件。事件的信息显示登陆账户是liuming,源工作站是root,根据网络拓扑图可知,域内环境没有Linux服务器,liuming机器可能被控制用于对域控制器的攻击。这个事件附近有多次登录和凭据的验证。



在后续事件中,可以看到Kerberos身份验证服务

可以看到计算机账户创建了一个用户

在后续事件中,可以看到使用Administrator进行了特殊登录

再次校验是否为sAMAccountName Spoofing漏洞攻击,利用导出的ADSI_CN=Computers.txt文件和ADSI_CN=Users.txt做对比

可以看到mS-DS-CreatorSID也就创建者的SID和liuming账户的objectSid相对应,由此可知是由攻击者利用liuming用户建立了一个Desktop机器。正常情况下,liuming的域账户权限不足以创建,可能是攻击者使用一个高权限的票据。再对Win7机器进行排查

运行输入mstsc打开远程控制,输入IP和用户名VULNTARGET\Administrator利用密码Admin@123!登陆

在Windows7远程桌面下查找,发现C:\Windows\System32目录下被攻击者上传了mimikatz,mimikatz常用于获取用户凭据

查看mimikatz文档,可以发现攻击者攻击的流程,因为Win7特殊的特性,mimikatz直接抓取了明文密码

可能Win7的永恒之蓝漏洞,成功获取了权限。用Win7的账户密码攻击了域控制器

相关推荐
codebetter2 小时前
Windows子系统WSL Ubuntu24.04 Docker pull镜像失败
windows·docker
kyle~3 小时前
Windows---动态链接库Dynamic Link Library(.dll)
运维·windows·操作系统·运维开发·开发部署
中游鱼5 小时前
如何序列化和反序列化动态 XmlElement ?
windows·microsoft·c#
我命由我1234510 小时前
Kotlin 数据容器 - List(List 概述、创建 List、List 核心特性、List 元素访问、List 遍历)
java·开发语言·jvm·windows·java-ee·kotlin·list
mCell12 小时前
从删库到跑路?这50个Linux命令能保你职业生涯
linux·windows·macos
dualven_in_csdn13 小时前
electron 使用记录
windows
zz96022614 小时前
Windows Server存储池,虚拟磁盘在系统启动后不自动连接需要手动连接
windows
吳所畏惧20 小时前
NVM踩坑实录:配置了npm的阿里云cdn之后,下载nodejs老版本(如:12.18.4)时,报404异常,下载失败的问题解决
前端·windows·阿里云·npm·node.js·batch命令
leese23320 小时前
FreeMarker模板引擎
windows
love530love21 小时前
命令行创建 UV 环境及本地化实战演示—— 基于《Python 多版本与开发环境治理架构设计》的最佳实践
开发语言·人工智能·windows·python·conda·uv