MachineAccountQuota
1. 枚举
┌──(root㉿kali)-[~/Desktop/ChunQiu/Finance]
└─# proxychains -q nxc ldap 172.22.20.25 -u 'liu654' -p 'Admin123' -M maq
LDAP 172.22.20.25 389 FPSRVAD01 [*] Windows Server 2022 Build 20348 (name:FPSRVAD01) (domain:fpcorp.int) (signing:None) (channel binding:No TLS cert)
LDAP 172.22.20.25 389 FPSRVAD01 [+] fpcorp.int\liu654:Admin123
MAQ 172.22.20.25 389 FPSRVAD01 [*] Getting the MachineAccountQuota
MAQ 172.22.20.25 389 FPSRVAD01 MachineAccountQuota: 102. 介绍
LDAP 中的 MS-DS-Machine-Account-Quota 属性控制着用户在 Active Directory 域中允许创建的计算机账户数量.默认情况下,该值设置为 10,这表示任何域用户都可以将10台计算机加入域中。
此设置最初是为了方便和可扩展性而引入的,有助于减轻 IT 部门的负担,尤其是在大型组织首次采用 AD 时。它使用户能够设置自己的机器并将其加入域,而无需等待 IT 部门
当计算机加入 Active Directory 域时,会为其分配一个以美元符号( $ )结尾的机器账户,例如 WS01$ 。该账户与一个随机生成的密码相关联(此密码保存在LSA中)和NTDS.dit中。
危害:可以通过结合响应欺骗攻击向域控的LDAP服务进行NTLM中继来创建一个计算机账号,创建的账户拥有和标准域用户相同的大部分权限。可以进行如凭据收集、Kerberoasting、ADCS等攻击
3. 修复
#查询
Get-ADObject -Identity ((Get-ADDomain).distinguishedname) -Properties ms-DS-MachineAccountQuota
#修复
Set-ADdomain -Identity 【DOMAIN】 -Replace @{"ms-DS-MachineAccountQuota"="0"} -Verbose
