历史CVE漏洞

在进入域环境后，我们就可以对域进行侦查与枚举了。域是个很庞大的体系，有诸多信息需要我们去提取和枚举，看着让人头疼，但只要我们梳理好顺序与思路，就不会错过重要的线索！

笔者一直坚持，枚举和利用总是从最简单的做起，即low hanging fruit。对于一个保持系统更新的企业域环境来说，想通过1个CVE漏洞一键打穿是很难遇到的事情了，虽然有一些辅助性的漏洞或者默认配置（例如未开启LDAP签名、频道绑定）可以协助我们对单个主机进行执行远程代码或者特权提升。但另一方面，企业并非总是时刻保持域服务器的更新，因此容易受到一些历史CVE漏洞，尤其是近两年的。这些漏洞，能帮助拿下多个主机，甚至一键拿域乃至森林。接下来，我们分别介绍一下这些漏洞：

 

CVE-2022-26923 证书服务提权漏洞

低权限的域用户在默认的AD以及ADCS环境中可以提升至域管理员特权。该漏洞需要多个工具组合利用，因为似乎暂时没有一件利用脚本。在后续章节我们会讲手动利用的具体过程。

 

CVE-2022-26809 RPC远程代码执行

未授权的攻击者可以通过发送精心构造的远程服务调用对远程主机进行代码执行。目前该漏洞尚无公开的exp，不过可以参考该链接：https://github.com/yuanLink/CVE-2022-26809 。

 

CVE-2020-1472 ZeroLogon漏洞

因为脆弱的密码学设计，攻击者可以模仿任何域主机，包括域控制器，以实现提权。脚本 (https://github.com/SecuraBV/CVE-2020-1472) 可用于测试目标域是否受该漏洞影响。

 

CVE-2021-42278 NoPAC漏洞

该漏洞实际上利用了主机账号的伪造，攻击者可以从普通用户提升为域管理员。脚本 (https://github.com/Ridter/noPac) 可用于检测以及利用该漏洞。

 

MS14-068

因为KDC对于伪造票据签名的失败校验，攻击者可以模仿域管理员从而接管域。我们可以使用脚本 (https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS14-068/pykek/ms14-068.py) 对受影响的主机进行利用。

 

考虑到当前章节注重于枚举而非利用，并且域的一些理论知识尚未开始讲解，我们会在后续章节对部分漏洞进行原理简析、步骤利用等。