Active Directory 权限提升技巧汇总

年底是坐下来反思过去一年的好时机。 因此，让我们来看看我在 2021 年的 Active Directory 渗透测试中获得域管理员权限的十种最常见方式。

1 - 共享中的敏感数据

发现一个包含脚本和文件的网络共享，包括高权限的服务账户凭证，这听起来可能令人难以置信。但在现实中，这种情况经常发生。有时我甚至发现域控制器的备份。

但是，不仅仅是可读文件是一个问题。在某些情况下，工具和应用程序会直接从网络共享中执行。更多的时候，域用户对可执行文件有写入权限，允许每个人替换将由其他用户执行的文件。显然，这是一个坏主意。

我强烈建议不时地扫描所有的共享。像Snaffler或PingCastle这样的工具可以帮助你。也可以用好的老式AccessChk来检查错误的文件权限。

2 – Kerberoasting

尽管这种攻击自 2014 年 就已为人所知，但 Kerberoasting 仍然运行良好。 Kerberoasting 利用具有定义的服务主体名称 (SPN) 的帐户。 如果此类帐户的密码较弱，则攻击者可能会破解密码并使用它来获得进一步的权限。

奇怪的是，今年我遇到了许多具有高权限和弱密码的服务帐户，我们的 Compass Cracker 能够破解； 只使用标准的单词表通常就像一个魅力。

我建议您检查所有帐户的 SPN 条目。 如果他们不需要它，则应将其删除。 对于具有 SPN 条目的所有其他帐户，应设置一个强大且唯一的密码。 您可以使用 PowerShell 轻松搜索具有 SPN 条目的帐户。 您不妨使用 Group Managed Service Accounts 来处理此类帐户。

3 – 网络NTLMv1

即使是坚韧的 NetNTLMv1 也已经很老了，今年我遇到的次数比我想象的要多。 NetNTLMv1 的问题在于它使用 DES 加密并且很容易被破解。 上的 Rainbow Table rack.sh 可用于在几秒钟内免费破解此类哈希。

因此，使用 NetNTLMv1 非常危险。 我强烈建议您 关闭 Windows 网络中的 NetNTLMv1。

 

4 – 无需 SMB 签名

如果不强制执行 SMB 签名，网络中的攻击者很可能会根据自己的意愿中继 SMB 会话。我经常发现 Microsoft SCCM 安装，其中一台 SCCM 机器是另一台机器的本地管理员。如果未在机器上强制执行 SMB 签名，则攻击者有可能将 SMB 会话从一台机器中继到另一台机器并获得目标的本地管理员权限。如果您想了解有关 NTLM 中继的更多信息，请查看我们的博客。

应该要求并在所有客户端和服务器上强制执行 SMB 签名，以应对网络内的此类中继攻击。

5 – 错误配置的证书颁发机构 (CA) 注册端点

在这一年中，SpecterOps 发表了一篇关于 Active Directory 证书服务 (AD CS) 安全性的精彩论文。我最喜欢的攻击之一是将 NTLM 身份验证中继到 CA 的 HTTP 注册端点。如果从域控制器中继会话（听说过PetitPotam？），CA 将为域控制器签署任意证书。有效证书和私钥可用于接管世界域。

Microsoft 发布了一份关于如何保护 HTTP 注册端点免受此攻击的白皮书。

6 – 配置错误的证书模板

SpecterOps 论文中不断给出的另一个攻击是配置错误的证书模板。在今年的最后一个季度，这几乎可以保证在几分钟内获得域管理员权限！

检查证书模板配置的各种工具如雨后春笋般涌现。我喜欢SpecterOps 和PingCastle的Certify，它提供了一种方便的方法来检查配置错误的证书模板。

7 – 重复使用本地管理员密码

我会问客户的第一个问题是：

您使用Microsoft LAPS吗？

根据反应，我对 AD 安全状态有一定的感觉。不幸的是，今年我只有少数客户使用 LAPS（或类似工具）。一旦您在一个客户端上获得本地管理员权限，进一步提升权限很可能是微不足道的。

每个 Windows 系统都应该有一个唯一的本地管理员密码。如果攻击者可以攻破一台机器，他不会自动成为具有相同密码的所有其他系统的本地管理员。使用LAPS 管理密码。免费。

8 – 服务帐户

有时我会遇到一个帐户突然尝试通过 SMB 连接到我自己的系统的情况。我特别记得2021年的两个案例：

• 第一个是执行 IP 到用户映射的防火墙服务。传入连接每 15 分钟发生一次，很容易检测到。
• 在第二种情况下，它是一个硬件和软件库存解决方案。连接仅在每个星期二发生一次，我检测到连接尝试纯属幸运。

不幸的是，这两个帐户都是域管理员组的成员，我可以执行中继攻击和提升权限。

可悲的是，服务帐户具有过高的权限是很常见的。您应该验证所有服务帐户并遵守最低权限原则。

9 – 与补丁的斗争

PrintNightmare、HiveNightmare、noPAC 等攻击已经在今年发布。对我作为一名渗透测试人员来说，这是让我继续前进并对我所做的事情感兴趣的原因。

从系统管理员的角度来看，这可能很烦人！尤其是当修补可能对环境产生副作用 (PrintNightmare) 或单独修补不能解决问题 (HiveNightmare) 时。因此，在这一年中，我遇到了多个环境，这些漏洞要么没有打补丁，要么打了补丁，但仍然可以利用。

我经常从负责修补的人员那里听说，他们没有时间完全理解攻击、缓解措施和副作用。因此，请确保您的系统管理员有足够的时间来处理此类问题。打补丁很重要！

10 - 容易猜出密码

这是我在订婚期间主要做的事情。我编制了所有用户帐户的列表并尝试了一些常用密码。像kerbrute这样的工具可以快速向 AD 中的所有用户发送密码，我总是不得不放慢自己的速度，以免锁定公司中的所有帐户。

仍然广泛使用的是季节名称或简单的公司名称。一个较新的趋势是与当前或过去一年相结合的“电晕”。此外，实际密码为空的帐户数量也比您想象的要高。

不幸的是，微软在本地 AD 检查容易猜到的密码方面做得并不好，所以你只能教育用户或实施深度防御！

 

转自https://blog.compass-security.com/2021/12/a-years-worth-of-active-directory-privilege-escalation/

标签：思路分享, 学习笔记