域渗透应急响应

目录

介绍

sAMAccountName Spoofing漏洞

CVE-2021-42278,机器账户的名字⼀般来说应该以$结尾,但AD内没有对域内机器账户名做验证。CVE-2021-42287,与上述漏洞配合使⽤,创建与DC机器账户名字相同的机器账户(不以$结尾),账户请求⼀个TGT后,更名账户,然后通过S4U2self向TGS申请ST服务票据,接着DC在TGS_REP 阶段,这个账不存在的时候,DC会使⽤⾃⼰的密钥加密ST服务票据,提供⼀个属于该账户的PAC ,然后我们就得到了⼀个⾼权限ST。

bash 复制代码
假如域内有⼀台域控名为 DC(域控对应的机器⽤户为DC$),此时攻击者利⽤漏洞 CVE-2021-42278 创建⼀个机器⽤户 purplet$,再把机器⽤户purplet$ 的 sAMAccountName 改成 DC。然后利⽤ DC 去申请⼀个TGT票据。再把 DC 的sAMAccountName 改为 purplet$。这个时候 KDC 就会判断域内没有 DC 和这个⽤户,⾃动去搜索 DC$(DC$是域内已经存在的域控DC 的 sAMAccountName ),攻击者利⽤刚刚申请的 TGT 进⾏S4u2self,模拟域内的域管去请求域控 DC 的ST 票据,最终获得域控制器DC的权限。

步骤

根据题目信息得知,hr收到一份简历

可以看到docx后缀文件图标不同于正常word文件

打开原文件的压缩包,压缩包内的文件后缀名为exe,所以判断攻击发生在域成员Win10机器,点击了写有恶意代码的程序

根据应急事件的描述,可以判断恶意程序可以达到火绒安全软件免杀。

去查看域控的相关内容,根据导出的E01镜像和相关文件,通过FTK Imager打开E01镜像文件



打开镜像文件系统中的C盘

打开日志文件的目录Windows\System32\winevt\Logs

将Security.evtx导出,查看日志内容,这是一个凭据验证的类型,因为攻击者利用的sAMAccountName Spoofing漏洞是抓取用户凭据登陆,肯定涉及到凭据验证的事件。事件的信息显示登陆账户是liuming,源工作站是root,根据网络拓扑图可知,域内环境没有Linux服务器,liuming机器可能被控制用于对域控制器的攻击。这个事件附近有多次登录和凭据的验证。



在后续事件中,可以看到Kerberos身份验证服务

可以看到计算机账户创建了一个用户

在后续事件中,可以看到使用Administrator进行了特殊登录

再次校验是否为sAMAccountName Spoofing漏洞攻击,利用导出的ADSI_CN=Computers.txt文件和ADSI_CN=Users.txt做对比

可以看到mS-DS-CreatorSID也就创建者的SID和liuming账户的objectSid相对应,由此可知是由攻击者利用liuming用户建立了一个Desktop机器。正常情况下,liuming的域账户权限不足以创建,可能是攻击者使用一个高权限的票据。再对Win7机器进行排查

运行输入mstsc打开远程控制,输入IP和用户名VULNTARGET\Administrator利用密码Admin@123!登陆

在Windows7远程桌面下查找,发现C:\Windows\System32目录下被攻击者上传了mimikatz,mimikatz常用于获取用户凭据

查看mimikatz文档,可以发现攻击者攻击的流程,因为Win7特殊的特性,mimikatz直接抓取了明文密码

可能Win7的永恒之蓝漏洞,成功获取了权限。用Win7的账户密码攻击了域控制器

相关推荐
Clockwiseee3 小时前
php伪协议
windows·安全·web安全·网络安全
唐宋元明清21884 小时前
.NET 阻止系统睡眠/息屏
windows·电源
yylの博客6 小时前
Windows通过git-bash安装zsh
windows·git·bash·zsh
进击的code6 小时前
windows 下使用WLS2 编译aosp Android14并刷机到pixle 5a
windows
染指111010 小时前
50.第二阶段x86游戏实战2-lua获取本地寻路,跨地图寻路和获取当前地图id
c++·windows·lua·游戏安全·反游戏外挂·游戏逆向·luastudio
dntktop11 小时前
Converseen:全能免费批量图像处理专家
windows
一个懒鬼12 小时前
Windows脚本清理C盘缓存
windows·缓存
蚁景网络安全13 小时前
Cobalt Strike 4.8 用户指南-第十四节 Aggressor 脚本
windows·microsoft
Camllia3714 小时前
电脑运行库DirectX出问题怎么办?
windows·经验分享·电脑
总是学不会.15 小时前
【集合】Java 8 - Stream API 17种常用操作与案例详解
java·windows·spring boot·mysql·intellij-idea·java集合