打印机关了，域控再次5秒沦陷?

0x00 前言

正如前文所说: 攻击入口不仅是打印机协议, 只要可控机器账号/域账号外发认证，即可实现组合拳，攻击面很广，攻击链路较多.

EFS相关简介

加密文件系统(EFS)是微软 Windows 在 NTFS3.0 中引入的一个功能，它提供文件系统级加密。此技术使文件支持透明加密以保护机密数据免受具有物理访问权限的攻击者侵害。EFS从Windows 2000起在所有为商业环境开发的Windows版本中可用.

0x01 EFS走AD CS打域森林

和之前的printer bug利用类似，EFS的rpc，允许恶意域用户/或机器账号控制其它机器外发认证.

我们这里relay到https://dc2.bsec.corp/certsrv/certfnsh.asp

• 开启 HTTPS 并不是AD CS Web注册防御的方法

• 不需要AD CS Web服务的, 直接关闭

成功获取DC4$的域控身份证书

证书管理台查看生成的证书

by the way, 正常域环境中，也可以看到很多EFS的证书

使用证书

dcsync指定域管的Hash

更多AD CS相关操作，可以看前面发的几篇文章.

• 全补丁域森林5秒沦陷？加密升级之信任雪崩

• Active Directory 证书服务快速防御指南

0x02 EFS走LDAP委派打DC

老生常谈下委派的组合拳，老司机可以跳过

同上触发dc2$外发认证成功Dump指定域用户的各种hash

留个思考: 加了一通Protected Users Group，是否能免疫委派?

0x03 EFS走LDAP委派打EX

同理触发ex03$外发认证

简单测试下当前委派权限

留个思考: 历史委派恶意测试新增的账号, 如何快速定位和止损?

0x04 延伸

windows 服务器/PC 常驻那么多RPC接口, 能可控机器账号/域账号走smb/webdav/http外发认证的，还有多少?

0x05 参考地址

• https://github.com/topotam/PetitPotam

• Encrypting File System Remote (EFSRPC) Protocol