条件 msDS-AllowedToActOnBehalfOfOtherIdentity 默认情况下,只有添加这个计算机的域用户和计算机本身可以修改msDS-AllowedToActOnBehalfOfOtherIdentity这个属性 而设置委派的必须是一个SPN账户,域内机器默认就是,理论上域内的服务用户也可以(只要具有SPN记录) Account Operators组 ...

当我们获得了目标的证书后，第一想法肯定是通过PKINIT Kerberos认证获得目标的Hash。但是有些场景下，目标环境中会不允许进行PKINIT Kerberos认证 研究发现微软的官方文档中提到了，当进行LDAP连接时，如果客户端向DC提供了一个有效的证书，那么DC可以使用该证书作为证书所表示的凭据进行认证连接也就是说我们可以使用证书来进行LDAP认证，然后利用LDAP来进行各种高危...

原理 漏洞利用原因： 由于ADCS的http证书接口没有启用NTLM中继保护，因此其易受NTLM Relay攻击。而且Authorization HTTP 标头明确只允许通过 NTLM 身份验证，因此Kerberos协议无法使用。因此，攻击者可以利用NTLM Relay攻击ADCS证书服务。 攻击过程 都是在域机器中操作的, 工作组中没试成功, 按理说工作组也可以 环境 ...

环境 域 shigophilo.com 机器名 IP 系统 说明 dc 10.10.10.130 win2016 域控 ca 10.10.10.128 win2008 证...

WinDows 综合利用信息:https://xz.aliyun.com/t/8153 系统DLL劫持（需要目标重启或注销） 针对特定软件的DLL劫持（需要知道软件的绝对路径，需要目标一次点击） 覆写目标的快捷方式（需要知道用户名，需要目标一次点击） 覆写特定软件的配置文件达到提权目的（目标无需点击或一次点击，主要看是什么软件） 覆写sethc.exe粘滞键（需要可以登...

Untrusted search path vulnerability in Baidunetdisk Version 7.4.3 and earlier allows an attacker to gain privileges via a Trojan horse DLL in an unspecified directory. The latest Baidunetdisk for ...

域登录缓存mscash Domain Cached Credentials 简称 DDC，也叫 mscache。有两个版本，XP/2003 年代的叫第一代，Vasta/2008 之后的是第二代。 计算机在加入域之后就得通过 kerberos 进行认证，通过 kerberos 认证就得有域控的参与，但是如果域成员暂时无法访问到域控的话，岂不是无法认证了？域凭证缓存就是为了解决这个问题的。如果...

https://www.anquanke.com/post/id/209966 简介 官网 https://www.rapid7.com/ Github https://github.com/rapid7/metasploit-framework 体系结构 | 文件夹 | 作用 | 解释 | |—-|—-|—-| | auxiliary | 辅助模块 | Metasploit 为渗透测试...

约束委派攻击Constrained delegation 接受委派的用户只能是服务账户或者计算机用户 条件 配置了约束委派的用户的userAccountControl 属性有个FLAG位 TrustedToAuthForDelegation 约束的资源委派，除了配置TRUSTED_TO_AUTH_FOR_DELEGATION 之外，还有个地方是存储对哪个spn 进...

非约束委派攻击Unconstrained delegation 接受委派的用户只能是服务账户或者计算机用户 条件 配置了非约束委派的用户的userAccountControl 属性有个FLAG位 TrustedForDelegation 非约束委派的安全问题就是如果我们找到配置了非约束的委派的账户，比如这里面的JACKSON-PC$，并且通过一定手段拿下该账户的权限，...