长亭百川云 - 文章详情

exchagne默认配置缺陷,域内任意新增域用户

甲方安全建设

45

2024-07-13

0x00 背景

最近看AD一哥有讨论ex的默认配置错误的,还以为是acl提权。早上测试了下,发现不是,还是很强的。任意 domain user 添加。应该还有其他组合拳玩法.

  • p0报告: Exchange: AD Schema Misconfiguration Elevation of Privilege

0x01 线上测试

  • 随机选取一台域内机器(只要有机器账号就行/基本无门槛)

  • 新增任意普通域用户,设置密码不过期

  • 账户差异

  • 套娃新增的用户

0x02 其它利用测试

  • 新增用户到domain admin: 无权限

  • 新增用户都ex 高权限组: 无权限

  • 新增时设置TrustedForDelegation: 无权限 来自@daiker

  • 时间有限,还有其它测试没做.

  • 能提权可能性不大. 因为是继承当前容器的权限(机器账号)

  • 不排除其它骚操作秒打域控的组合拳

  • 利用可能点:

  • 一次进内网:然后新增机器账号/域用户, 下次你家大门常打开(WIFI/VPN/Jumper)等

0x03 思考

  • 和之前的机器账号小鸡生小鸡类似,这里也是可以套娃的

  • 并且套娃很多

  • machine account-->machine account

  • machine account-->domain user

  • domain user-->machine account

  • domain user间接到domain user

  • 如果New-ADUser这个动作里,不能完成提权,可能用处和危害没有那么大.

0x04 参考

  • AD 一哥们的推特讨论

  • p0报告: Exchange: AD Schema Misconfiguration Elevation of Privilege

  • Containers and Leaves

  • Exchange Server 中的 Active Directory 架构更改修复: ms-Exch-Storage-Group

  • ms-Exch-Storage-Group Class

  • 扫描是同类型影响/危害的脚本: Find-VulnerableSchemas.ps1@IISResetMe

0x05 申明

  • 扫描的脚本打包了下, 公众号回复ex_new_user自取.

  • 本人获取的信息/进行的思考/完成的实践,肯定有欠缺或错漏,如有意见和建议可以私聊.

  • 公众号红蓝早读取消(被怼了), 换到知识星球红蓝早读群更新.

  • 最后: 加我然后和我撕逼的请圆润的走开

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2