欧博电脑版下载

欢迎进入博电脑版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

0x00 前言

Printerbug使得拥有控制域用户/盘算机的攻击者可以指定域内的一台服务器,并使其对攻击者选择的目的举行身份验证。虽然不是一个微软认可的破绽,然则跟Net-ntlmV1,非约束委派,NTLM_Relay,命名管道模拟这些手法的连系可以用来域内提权,内陆提权,跨域等等行使。

遗憾的是,在PrintNightmare发作之后,许多企业会选择关闭spoolss服务,使得Printerbug失效。在Printerbug逐渐失效的今天,PetitPotam来了,他也可以指定域内的一台服务器,并使其对攻击者选择的目的举行身份验证。而且在低版本(16以下)的情形底下,可以匿名触发。


0x01 原理

MS-EFSR内里有个函数EfsRpcOpenFileRaw(Opnum 0)

long EfsRpcOpenFileRaw(
   [in] handle_t binding_h,
   [out] PEXIMPORT_CONTEXT_HANDLE* hContext,
   [in, string] wchar_t* FileName,
   [in] long Flags
 );

他的作用是打开服务器上的加密工具以举行备份或还原,服务器上的加密工具由FileName 参数指定,FileName的类型是UncPath。

当指定花样为\\IP\C$的时刻,lsass.exe服务就会去接见\\IP\pipe\srvsrv


指定域内的一台服务器,并使其对攻击者选择的目的(通过修改FileName内里的IP参数)举行身份验证。

0x02 细节

1、通过lsarpc 触发

在官方文档内里,MS-EFSR的挪用有\pipe\lsarpc和\pipe\efsrpc两种方式,其中

· \pipe\lsarpc的服务器接口必须是UUID [c681d488-d850-11d0-8c52-00c04fd90f7e]

· \pipe\efsrpc的服务器接口必须是UUID [df1941c5-fe89-4e79-bf10-463657acf44d]

在我内陆测试发现\pipe\efsrpc并未对外开放

在PetitPotam的Poc内里有一句注释possible aussi via efsrpc (en changeant d'UUID) mais ce named pipe est moins universel et plus rare que lsarpc ;),翻译过来就是

也可以通过EFSRPC(通过更改UUID),但这种命名管道的通用性不如lsarpc,而且比LSARPC更罕有

以是PetitPotam直接是接纳lsarpc的方式触发。

2、低版本可以匿名触发

在08和12的环境,默认在网络平安:可匿名接见的命名管道中有三个netlogon、samr、lsarpc。因此在这个环境下是可以匿名触发的

遗憾的是在16以上这个默认就是空了,需要至少一个域内凭证。

欧博开户

欢迎进入欧博开户(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

0x03 行使

这篇文章的主题是使用PetitPotam取代Printerbug,因此这个行使同时也是Printerbug的行使。这里顺便梳理温习下Printerbug的行使。

1、连系 CVE-2019-1040,NTLM_Relay到LDAP

详情见CVE-2019-1040,这里我们可以将触起源从Printerbug换成PetitPotam

2、Relay到HTTP

差异于LDAP是协商署名的,提议的协议若是是 *** b就需要修改Flag位,到HTTP的NTLM认证是不署名的。前段时间对照火的ADCS恰好是http接口,又接受ntlm认证,我们可以行使PetitPotam把域控机械用户relay到ADCS内里申请一个域控证书,再用这个证书举行kerberos认证。注重这里若是是域控要指定模板为DomainController

python3 ntlmrelayx.py -t https://192.168.12.201/Certsrv/certfnsh.asp - *** b2support --adcs --template "DomainController"

2、连系非约束委派的行使

当一台机械机设置了非约束委派之后,任何用户通过网络认证接见这台主机,设置的非约束委派的机械都能拿到这个用户的TGT票据。

当我们拿到了一台非约束委派的机械,只要诱导别人来接见这台机械就可以拿到谁人用户的TGT,在这之前我们一样平常用printerbug来触发,在这里我们可以用PetitPotamlai来触发。

域内默认所有域控都是非约束委派,因此这种行使还可用于跨域。

3、连系Net-ntlmV1举行行使

许多企业由于历史缘故原由,会导致LAN身份验证级别设置欠妥,攻击者可以将Net-Ntlm降级为V1

我们在Responder内里把Challeng设置为1122334455667788,就可以将Net-ntlm V1解密为ntlm hash

4、连系命名管道的模拟

在这之前,我们行使了printerbug放出了pipePotato破绽。详情见pipePotato:一种新型的通用提权破绽。

在PetitPotam出来的时刻,发现这个RPC也会有之前pipePotato的问题。

0x04 引用

  • [MS-EFSR]: Encrypting File System Remote (EFSRPC) Protocol

  • PetitPotam


电报群声明:该文看法仅代表作者自己,与本平台无关。转载请注明:使用(yong)PetitPotam取{qu}代《dai》Printerbug
发布评论

分享到:

足球免费贴士网(www.zq68.vip):恭喜!广东宏远弃将签下大条约,谢谢朱芳雨生意
2 条回复
  1. 皇冠即时比分
    皇冠即时比分
    (2021-09-01 00:04:19) 1#

    目测这网站,这文会火

    1. USDT法币交易(www.usdt8.vip)
      USDT法币交易(www.usdt8.vip)
      (2021-09-21 02:05:56)     

      新2正网平台出租rent.22223388.com)皇冠运营平台(rent.22223388.com)是皇冠(正网)接入菜宝钱包的TRC20-USDT支付系统,为皇冠代理提供专业的网上运营管理系统。系统实现注册、充值、提现、客服等全自动化功能。采用的USDT匿名支付、阅后即焚的IM客服系统,让皇冠代理的运营更轻松更安全。

      好看,特别精致的文

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。