amnsecurity/internal-domain-development-compromise-assessment
GitHub: amnsecurity/internal-domain-development-compromise-assessment
AMN SECURITY 针对包含 Active Directory、MQTT、文件共享平台、Gogs 和 ADCS 的内部环境开展的渗透测试报告,展示了一条从匿名服务发现到域控制权完全沦陷的完整攻击链。
Stars: 1 | Forks: 0
# 内部域与开发工具安全评估
# AMN 安全 ### 网络安全研究中心 [](https://amn.amnoffsec.workers.dev/) [](https://www.instagram.com/ixctw) [](mailto:ayman.mahmoudoffsec@gmail.com)
# AMN 安全 ### 网络安全研究中心 [](https://amn.amnoffsec.workers.dev/) [](https://www.instagram.com/ixctw) [](mailto:ayman.mahmoudoffsec@gmail.com)
# 渗透测试报告:域环境与内部开发平台
**分类:** 内部 - 机密
**总体威胁级别:** 严重
**测试目标系统:** Active Directory、MQTT 服务、内部文件共享平台、Gogs 及 ADCS
## 1. 执行摘要
AMN SECURITY 对包含 Active Directory 域以及辅助文件管理和开发服务的内部环境进行了渗透测试。测试表明,内部服务隔离不佳,加上对 NTLM 身份验证的过度依赖以及不安全的 ADCS 配置,使得攻击者能够构建一条完整的攻击链,并最终证明取得了域控制权。
攻击路径始于允许无需身份验证即可查询的 MQTT 服务,随后利用发现的数据将 NTLM 身份验证中继到内部应用程序。此后,一个双重编码的路径绕过漏洞导致敏感用户文件被提取,接着访问了 Gogs 平台并利用其处理符号链接机制的漏洞在服务器上执行命令。在最后阶段,ADCS 的错误配置使得攻击者能够获取高权限敏感账户的证书,并利用该证书证明取得了域控制权。
## 2. 测试范围
| 项目 | 详情 |
|---|---|
| 身份环境 | Active Directory Domain Services |
| 内部服务 | MQTT、文件共享平台、Gogs |
| 证书基础设施 | Active Directory Certificate Services |
| 操作系统 | Windows Server 及 Linux |
| 评估类型 | 授权的内部渗透测试 |
## 3. 已确认的攻击路径
```
استطلاع داخلي -> MQTT بدون مصادقة -> توجيه NTLM -> وصول لتطبيق مشاركة الملفات
-> تجاوز مسار مشفر مزدوج -> استخراج دلائل اعتماد -> وصول إلى Gogs
-> CVE-2025-8110 -> انتقال جانبي -> ADCS ESC11 -> إثبات سيطرة على الدومين
```
## 4. 主要发现
| # | 发现 | 影响 | 威胁级别 |
|---|---|---|---|
| 1 | MQTT 服务允许未经身份验证访问 | 泄露服务名称和内部地址 | 高 |
| 2 | 可通过可篡改的检查重定向 NTLM 身份验证 | 间接访问内部应用程序 | 高 |
| 3 | 文件共享平台存在双重编码的路径绕过 | 读取允许路径之外的文件 | 严重 |
| 4 | 暴露 KeePass 数据及敏感用户文件 | 恢复内部服务的凭据 | 严重 |
| 5 | 通过 CVE-2025-8110 实现 Gogs RCE | 在开发服务器上执行命令 | 严重 |
| 6 | ADCS ESC11 配置错误 | 可能获取高权限证书 | 严重 |
| 7 | 滥用证书后可执行 DCSync | 证明完全控制了域 | 严重 |
## 5. 技术细节简述
### 5.1 MQTT 侦察
发现了一个内部 MQTT 服务,允许无需身份验证即可连接并订阅主题。发布的消息显示了内部服务名称及可受影响的健康检查详细信息。
```
nmap -Pn -sV -A -p-
mqttui -b mqtt://
```
### 5.2 NTLM 身份验证重定向
可以通过 MQTT 修改发布的健康检查值,使其指向评估团队拥有的测试服务器。在处理该值时,内部服务尝试自动进行身份验证,从而允许将 NTLM 重定向到内部文件共享应用程序。
```
responder -I -v
ntlmrelayx.py -t http:// --http-port 8888 --keep-relaying -socks
```
### 5.3 双重编码路径绕过
文件共享应用程序对路径进行多次解码,而未验证最终路径是否仍保留在下载文件夹内。这导致能够从系统中读取敏感的用户文件。
```
GET /api/download/ HTTP/1.1
Host:
```
利用提取的文件来分析 KeePass 的使用痕迹,并获取了未安全存储的凭据。
### 5.4 利用 Gogs CVE-2025-8110
访问 Gogs 后,利用了 CVE-2025-8110,通过滥用符号链接来修改 Git 仓库设置,并在随后执行 Git 操作时触发命令。
```
python3 codes/exploit_cve_2025_8110.py \
-t http:// \
-u -p '' \
--lhost --lport
```
### 5.5 横向移动与 Gogs 数据分析
审查了 Gogs 数据库以提取内部账户指标。在专属测试环境中处理了任何哈希或密码,且未在公开报告中发布。
### 5.6 ADCS ESC11 与域控制
ADCS 扫描显示存在允许 NTLM 中继到 ICPR 接口并请求高权限证书的配置。利用该证书,证明了对该域执行 DCSync 的能力。
```
certipy find -u '@' -p '' -dc-host -vulnerable -stdout
ntlmrelayx.py -t rpc:// -rpc-mode ICPR -icpr-ca-name '' --template DomainController
coercer coerce -l -t -d -u -p ''
```
## 6. 保留的证据
| 证据 | 状态 |
|---|---|
| 端口与服务扫描输出 | 内部保留 |
| 表明泄露内部信息的 MQTT 消息 | 已记录 |
| 路径绕过请求及应用程序响应 | 已记录并隐藏敏感路径 |
| 在 Gogs 服务器上执行命令 | 已确认 |
| ADCS ESC11 扫描结果 | 已确认 |
| 证明取得域控制权 | 已确认,未发布机密或哈希 |
## 7. 建议
1. 强制对 MQTT 进行身份验证并禁用匿名访问,同时将监控通道与业务服务隔离。
2. 防止任何可修改的输入影响健康检查地址或内部服务器请求。
3. 尽可能禁用 NTLM,启用 SMB signing 和 EPA 以保护内部 Web 服务。
4. 使用 canonical path validation 修复文件下载逻辑,防止不受控的重复解码。
5. 审查 KeePass 和用户文件中的机密存储,并立即轮换所有受影响的机密。
6. 升级 Gogs 或应用针对 CVE-2025-8110 的补丁,并限制 Git 进程的权限。
7. 通过在证书接口上启用保护、限制 DomainController 模板以及监控敏感证书请求,来解决 ADCS ESC11 问题。
8. 监控 DCSync 事件,针对异常证书请求和非正常模式的服务账户使用添加告警。
# 英文摘要
## 内部域与开发工具渗透测试
AMN SECURITY 评估了一个包含 Active Directory、MQTT 遥测、安全文件共享门户、Gogs 和 ADCS 的内部环境。评估确认了一条从无需身份验证的服务发现到域级别控制的完整入侵路径。
## 已确认的攻击链
```
Internal discovery -> unauthenticated MQTT -> NTLM relay -> file-sharing access
-> double URL-encoded path traversal -> credential exposure -> Gogs RCE
-> lateral movement -> ADCS ESC11 -> domain compromise proof
```
## 主要发现
| # | 发现 | 威胁级别 |
|---|---|---|
| 1 | 匿名 MQTT 访问泄露内部服务元数据 | 高 |
| 2 | 健康检查毒化攻击实现了 NTLM 中继 | 高 |
| 3 | 双重 URL 编码的路径遍历暴露敏感文件 | 严重 |
| 4 | 可从用户文件中恢复凭据材料 | 严重 |
| 5 | Gogs CVE-2025-8110 实现了命令执行 | 严重 |
| 6 | ADCS ESC11 导致了证书滥用 | 严重 |
| 7 | 滥用证书后确认具备 DCSync 能力 | 严重 |
## 修复优先级
- 要求 MQTT 和监控服务进行身份验证并进行网络隔离。
- 移除 NTLM 依赖,或强制实施中继保护(如 SMB signing 和 EPA)。
- 通过严格的 canonical path validation 修复文件下载路径处理。
- 针对 CVE-2025-8110 修补 Gogs 并限制 Git 进程权限。
- 通过强化 ICPR 访问、模板以及证书颁发监控来修复 ADCS ESC11。
- 轮换所有受影响的凭据并审查域入侵指标。
**AMN SECURITY - 网络安全研究中心**
**分类:** 内部 - 机密
© 2026 AMN SECURITY. 保留所有权利。
标签:ADCS, Terraform 安全, 数据展示, 活动目录, 渗透测试报告, 红队, 足迹探测, 逆向工具