域渗透应急响应

目录

介绍

sAMAccountName Spoofing漏洞

CVE-2021-42278,机器账户的名字⼀般来说应该以$结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以$结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。

bash 复制代码
假如域内有⼀台域控名为 DC(域控对应的机器⽤户为DC$),此时攻击者利⽤漏洞 CVE-2021-42278 创建⼀个机器⽤户 purplet$,再把机器⽤户purplet$ 的 sAMAccountName 改成 DC。然后利⽤ DC 去申请⼀个TGT票据。再把 DC 的sAMAccountName 改为 purplet$。这个时候 KDC 就会判断域内没有 DC 和这个⽤户,⾃动去搜索 DC$(DC$是域内已经存在的域控DC 的 sAMAccountName ),攻击者利⽤刚刚申请的 TGT 进⾏S4u2self,模拟域内的域管去请求域控 DC 的ST 票据,最终获得域控制器DC的权限。

步骤

根据题目信息得知,hr收到一份简历

可以看到docx后缀文件图标不同于正常word文件

打开原文件的压缩包,压缩包内的文件后缀名为exe,所以判断攻击发生在域成员Win10机器,点击了写有恶意代码的程序

根据应急事件的描述,可以判断恶意程序可以达到火绒安全软件免杀。

去查看域控的相关内容,根据导出的E01镜像和相关文件,通过FTK Imager打开E01镜像文件



打开镜像文件系统中的C盘

打开日志文件的目录Windows\System32\winevt\Logs

将Security.evtx导出,查看日志内容,这是一个凭据验证的类型,因为攻击者利用的sAMAccountName Spoofing漏洞是抓取用户凭据登陆,肯定涉及到凭据验证的事件。事件的信息显示登陆账户是liuming,源工作站是root,根据网络拓扑图可知,域内环境没有Linux服务器,liuming机器可能被控制用于对域控制器的攻击。这个事件附近有多次登录和凭据的验证。



在后续事件中,可以看到Kerberos身份验证服务

可以看到计算机账户创建了一个用户

在后续事件中,可以看到使用Administrator进行了特殊登录

再次校验是否为sAMAccountName Spoofing漏洞攻击,利用导出的ADSI_CN=Computers.txt文件和ADSI_CN=Users.txt做对比

可以看到mS-DS-CreatorSID也就创建者的SID和liuming账户的objectSid相对应,由此可知是由攻击者利用liuming用户建立了一个Desktop机器。正常情况下,liuming的域账户权限不足以创建,可能是攻击者使用一个高权限的票据。再对Win7机器进行排查

运行输入mstsc打开远程控制,输入IP和用户名VULNTARGET\Administrator利用密码Admin@123!登陆

在Windows7远程桌面下查找,发现C:\Windows\System32目录下被攻击者上传了mimikatz,mimikatz常用于获取用户凭据

查看mimikatz文档,可以发现攻击者攻击的流程,因为Win7特殊的特性,mimikatz直接抓取了明文密码

可能Win7的永恒之蓝漏洞,成功获取了权限。用Win7的账户密码攻击了域控制器

相关推荐
hairenjing11238 小时前
使用 Mac 数据恢复从 iPhoto 图库中恢复照片
windows·stm32·嵌入式硬件·macos·word
九鼎科技-Leo10 小时前
了解 .NET 运行时与 .NET 框架:基础概念与相互关系
windows·c#·.net
九鼎科技-Leo12 小时前
什么是 ASP.NET Core?与 ASP.NET MVC 有什么区别?
windows·后端·c#·asp.net·mvc·.net
黎明晓月16 小时前
Java之字符串分割转换List
java·windows·list
九鼎科技-Leo16 小时前
在 C# 中,ICollection 和 IList 接口有什么区别?
windows·c#·.net
顾辰呀17 小时前
实现uniapp-微信小程序 搜索框+上拉加载+下拉刷新
前端·windows
Bunny Chen20 小时前
如何缩小PPT演示文稿的大小?
windows·microsoft·powerpoint
如光照20 小时前
Linux与Windows中的流量抓取工具:wireshark与tcpdump
linux·windows·测试工具·网络安全
wwc_boke21 小时前
Linux查看端口占用及Windows查看端口占用
linux·运维·windows
WangMing_X1 天前
C# 一个工具类让winform自动根据窗体大小缩放所有控件
开发语言·windows·c#