域渗透应急响应

目录

介绍

sAMAccountName Spoofing漏洞

CVE-2021-42278,机器账户的名字⼀般来说应该以$结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以$结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。

bash 复制代码
假如域内有⼀台域控名为 DC(域控对应的机器⽤户为DC$),此时攻击者利⽤漏洞 CVE-2021-42278 创建⼀个机器⽤户 purplet$,再把机器⽤户purplet$ 的 sAMAccountName 改成 DC。然后利⽤ DC 去申请⼀个TGT票据。再把 DC 的sAMAccountName 改为 purplet$。这个时候 KDC 就会判断域内没有 DC 和这个⽤户,⾃动去搜索 DC$(DC$是域内已经存在的域控DC 的 sAMAccountName ),攻击者利⽤刚刚申请的 TGT 进⾏S4u2self,模拟域内的域管去请求域控 DC 的ST 票据,最终获得域控制器DC的权限。

步骤

根据题目信息得知,hr收到一份简历

可以看到docx后缀文件图标不同于正常word文件

打开原文件的压缩包,压缩包内的文件后缀名为exe,所以判断攻击发生在域成员Win10机器,点击了写有恶意代码的程序

根据应急事件的描述,可以判断恶意程序可以达到火绒安全软件免杀。

去查看域控的相关内容,根据导出的E01镜像和相关文件,通过FTK Imager打开E01镜像文件



打开镜像文件系统中的C盘

打开日志文件的目录Windows\System32\winevt\Logs

将Security.evtx导出,查看日志内容,这是一个凭据验证的类型,因为攻击者利用的sAMAccountName Spoofing漏洞是抓取用户凭据登陆,肯定涉及到凭据验证的事件。事件的信息显示登陆账户是liuming,源工作站是root,根据网络拓扑图可知,域内环境没有Linux服务器,liuming机器可能被控制用于对域控制器的攻击。这个事件附近有多次登录和凭据的验证。



在后续事件中,可以看到Kerberos身份验证服务

可以看到计算机账户创建了一个用户

在后续事件中,可以看到使用Administrator进行了特殊登录

再次校验是否为sAMAccountName Spoofing漏洞攻击,利用导出的ADSI_CN=Computers.txt文件和ADSI_CN=Users.txt做对比

可以看到mS-DS-CreatorSID也就创建者的SID和liuming账户的objectSid相对应,由此可知是由攻击者利用liuming用户建立了一个Desktop机器。正常情况下,liuming的域账户权限不足以创建,可能是攻击者使用一个高权限的票据。再对Win7机器进行排查

运行输入mstsc打开远程控制,输入IP和用户名VULNTARGET\Administrator利用密码Admin@123!登陆

在Windows7远程桌面下查找,发现C:\Windows\System32目录下被攻击者上传了mimikatz,mimikatz常用于获取用户凭据

查看mimikatz文档,可以发现攻击者攻击的流程,因为Win7特殊的特性,mimikatz直接抓取了明文密码

可能Win7的永恒之蓝漏洞,成功获取了权限。用Win7的账户密码攻击了域控制器

相关推荐
系统之家装机大师5 小时前
Win11 22H2/23H2系统11月可选更新KB5046732发布!
windows·电脑
系统之家装机大师5 小时前
微软发布Win11 24H2系统11月可选更新KB5046740!
windows·电脑
戎梓漩7 小时前
windows下安装curl,并集成到visual studio
ide·windows·visual studio
蓝田~9 小时前
观察者模式和订阅模式
windows·观察者模式
梓仁沐白15 小时前
ubuntu+windows双系统切换后蓝牙设备无法连接
windows·ubuntu
九鼎科技-Leo19 小时前
什么是 WPF 中的依赖属性?有什么作用?
windows·c#·.net·wpf
Yang.9921 小时前
基于Windows系统用C++做一个点名工具
c++·windows·sql·visual studio code·sqlite3
我不瘦但很逗1 天前
Windows下使用DBeaver连接云数据库(MySQL)
数据库·windows
ashane13141 天前
Java list
java·windows·list
万里沧海寄云帆1 天前
Word 插入分节符页码更新问题
windows·microsoft·word