通过中间人攻击获取域控

# 通过中间人攻击获取域控

2021 defcon议题解析

在渗透或者攻击时,没有credentials或0-day时,可以尝试MITM,在内网中移动。最常目标就是AD。

NTML relay

参考
Hash窃取与传递 - xyylll - 博客园 (cnblogs.com)
print spooler LPF 打印机漏洞 - xyylll - 博客园 (cnblogs.com)

MS15-011

组策略中的漏洞可能允许远程代码执行。在加入域的系统连接到域控制器时,组策略检索和应用连接数据的方式存在远程代码执行漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。与拥有管理用户权限的用户相比,帐户被配置为拥有较少系统用户权限的用户受到的影响更小。

微软发布的补丁:阻止了GPO操作NTML,配置阻止SMB中NTLM的使用

因此这个攻击途径难以利用。

找到新的攻击途径:Azure AD

在pc使用office365 等需要外网的服务时,不需要vpn也可以使用,这是因为Azure AD connect的存在,它将DC保存的密码或凭据复制到Azure AD云中。Use就可直接登录AD云。

这里,如果中间人在DC 和Azure AD Server之间,就可以注入对应的用户名和密码。user就可以使用注入的密码进行登录。

kerberos relay

具体参考:Kerberos - xyylll - 博客园 (cnblogs.com)

黄金票据重放

只能对相同的服务器进行relay攻击,而且需要尽快重放。因为ticket对服务端有认证,还有时间戳。

TLS加密重放:

API可以验证TLS里的校验和,但是如果客户端发出的请求没有校验和,就可以进行重放

KDC欺骗

DC返回TGS-Rep时,添加服务器的秘密作为自身的身份验证,说明自己不是中间人。

由于此处无法修改TGS和TGT,需要接下来的工程。

Kerberos injection

在client选择DC的过程中加入中间人进行攻击。

这里在NETLOGON之前都并未验证DC,并且使用了不安全的协议。

攻击场景:

  • 使用kerberos协议
  • 来自DC的数据不需要验证
  • 未配置固定DC
  • 中间人在server和DNS之间。

攻击方法:

  • 使用中间人重定向到恶意DC
  • 客户端向非法服务器请求票据(需要注册服务主体名称 (SPN)
  • 修改对输入数据的响应
posted @ 2021-10-10 20:13  xyylll  阅读(132)  评论(0编辑  收藏  举报