前言
在请求服务票证之前,必须先签证授予票证(TGT)。当为密钥分发中心(KDC)中不存在的帐户请求服务票证时,密钥分发中心会查找帐户名中带有$符号的帐户。结合sAMAccountName属性缺乏控制的行为,攻击者可以利用这一点进行域权限提升。具体来说,攻击者可以请求域控制器帐户的票证授予票证,并在恢复sAMAccountName属性值之前,强制KDC搜索域控制器的机器帐户并发出提升的服务票证代表域管理员。
漏洞利用方面,Microsoft已经发布了补丁来防止成功利用这些漏洞,但在许多情况下,补丁并没有得到及时的应用,这为攻击者提供了一个可利用的时间窗口。漏洞利用的前提条件包括未打补丁的域控制器、有效的域用户帐户以及机器帐号配额大于零等。由于需要访问内部网络,因此假设低权限帐户已被盗用。机器帐户配额默认为10,因此主要的挑战在于确定是否已应用补丁。这可以通过请求没有PAC的票证授予票证并观察base64票证大小来实现。Rubeus等工具可以用于此目的。还有一些工具和脚本可以自动化这些技术,但在深入自动化之前,了解如何使用现有的工具集手动执行这种攻击是很重要的。在活动目录中创建机器帐户对队操作来说并不新鲜,因为它也可以在基于资源的约束委派期间使用。Kevin Robertson等专家已经开发了一些PowerShell模块和工具,可以帮助执行这些操作。
自动化实现方面,可以使用由Cube0x0开发的C工具noPac直接从内存中自动复制欺骗的步骤。执行某些命令将创建一个具有指定密码的机器帐户,并获得cifs服务的服务票证,该票证将被传递到内存中。同样地,如果初始植入是基于PowerShell的,则可以使用Invoke-noPac脚本使用相同的命令行参数执行操作。这些工具的使用需要根据具体情况进行调整和优化。
