长亭百川云 - 文章详情

打印机关了,域控再次5秒沦陷?

甲方安全建设

50

2024-07-13

0x00 前言

正如前文所说: 攻击入口不仅是打印机协议, 只要可控机器账号/域账号外发认证,即可实现组合拳,攻击面很广,攻击链路较多.

EFS相关简介

加密文件系统(EFS)是微软 Windows 在 NTFS3.0 中引入的一个功能,它提供文件系统级加密。此技术使文件支持透明加密以保护机密数据免受具有物理访问权限的攻击者侵害。EFS从Windows 2000起在所有为商业环境开发的Windows版本中可用.

0x01 EFSAD CS域森林

和之前的printer bug利用类似,EFS的rpc,允许恶意域用户/或机器账号控制其它机器外发认证.

我们这里relayhttps://dc2.bsec.corp/certsrv/certfnsh.asp

  • 开启 HTTPS 并不是AD CS Web注册防御的方法

  • 不需要AD CS Web服务的, 直接关闭

成功获取DC4$的域控身份证书

证书管理台查看生成的证书

by the way, 正常域环境中,也可以看到很多EFS的证书

使用证书

dcsync指定域管的Hash

更多AD CS相关操作,可以看前面发的几篇文章.

0x02 EFSLDAP委派打DC

老生常谈下委派的组合拳,老司机可以跳过

同上触发dc2$外发认证成功Dump指定域用户的各种hash

留个思考: 加了一通Protected Users Group,是否能免疫委派?

0x03 EFSLDAP委派打EX

同理触发ex03$外发认证

简单测试下当前委派权限

留个思考: 历史委派恶意测试新增的账号, 如何快速定位和止损?

0x04 延伸

windows 服务器/PC 常驻那么多RPC接口, 能可控机器账号/域账号smb/webdav/http外发认证的,还有多少?

0x05 参考地址

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2