正如前文所说: 攻击入口不仅是打印机协议, 只要可控机器账号/域账号外发认证,即可实现组合拳,攻击面很广,攻击链路较多.
EFS相关简介
加密文件系统(EFS)是微软 Windows 在 NTFS3.0 中引入的一个功能,它提供文件系统级加密。此技术使文件支持透明加密以保护机密数据免受具有物理访问权限的攻击者侵害。EFS从Windows 2000起在所有为商业环境开发的Windows版本中可用.
EFS走AD CS打域森林和之前的printer bug利用类似,EFS的rpc,允许恶意域用户/或机器账号控制其它机器外发认证.
我们这里relay到https://dc2.bsec.corp/certsrv/certfnsh.asp
开启 HTTPS 并不是AD CS Web注册防御的方法
不需要AD CS Web服务的, 直接关闭
成功获取DC4$的域控身份证书
证书管理台查看生成的证书
by the way, 正常域环境中,也可以看到很多EFS的证书
使用证书
dcsync指定域管的Hash
更多AD CS相关操作,可以看前面发的几篇文章.
EFS走LDAP委派打DC老生常谈下委派的组合拳,老司机可以跳过
同上触发dc2$外发认证成功Dump指定域用户的各种hash
留个思考: 加了一通
Protected Users Group,是否能免疫委派?
EFS走LDAP委派打EX同理触发ex03$外发认证
简单测试下当前委派权限
留个思考: 历史委派恶意测试
新增的账号, 如何快速定位和止损?
windows 服务器/PC 常驻那么多RPC接口, 能可控机器账号/域账号走smb/webdav/http外发认证的,还有多少?
Encrypting File System Remote (EFSRPC) Protocol