本文介绍了一个针对CVE-2022-33679漏洞的轻量级检测工具,该工具能够测试Active Directory凭据是否暴露于Kerberos AS-REP无预认证攻击风险,包含完整的安装和使用指南。
CVE-2022-33679检测工具
这是一个轻量级检测工具,用于测试一组Active Directory凭据是否暴露于CVE-2022-33679漏洞(无需预认证的Kerberos AS-REP烘烤攻击)。该代码源自Bdenneu/CVE-2022-33679,仅保留检测路径——它从不尝试利用。这不是一个漏洞利用工具!
环境要求
- Python 3.9+
- 可访问目标域控制器的网络(TCP/88)
- 可选工具:
uv用于环境管理,或标准的python3 -m venv
requirements.txt中列出的依赖:impacket==0.10.0,arc4==0.3.0
安装
使用uv(推荐)
1
2
3
|
uv venv
source .venv/bin/activate
uv pip install -r requirements.txt
|
使用pip
1
2
3
|
python3 -m venv .venv
source .venv/bin/activate
pip install -r requirements.txt
|
使用方法
1
|
uv run python CVE-2022-33679_Checker.py DOMAIN/username [-dc-ip DC_IP] [-ts] [-debug]
|
| 参数 |
描述 |
DOMAIN/username |
要测试的凭据,格式为domain/user。域名部分是必需的。 |
-dc-ip |
(可选)域控制器的IP。省略时,脚本将从DOMAIN解析FQDN。 |
-ts |
在日志前添加时间戳。 |
-debug |
启用详细日志记录,包括Impacket安装路径。 |
注意事项
- 成功的检测从不设置凭据或重置密码;它只向KDC请求无需预认证的AS-REP。
- 如果提供的用户不存在,脚本将报告
Usuario no encontrado en el dominio。
- 易受攻击的响应导致脚本以代码
1退出;安全响应以0退出。
示例
针对明确的DC IP检查用户:
1
|
uv run python CVE-2022-33679_Checker.py CONTOSO/alice -dc-ip 192.168.1.10
|
可能的结果:
Sistema vulnerable a CVE-2022-33679: Se recibió AS-REP sin pre-autenticaciónSistema NO vulnerable: Requiere pre-autenticación Kerberos
故障排除
Domain should be specified!:确保目标是DOMAIN/user,而不仅仅是user。Error de Kerberos: ...:启用-debug获取更多上下文,验证DC IP,并确认帐户名称。
负责任的使用
仅在您获得授权测试的系统上运行此检测工具。该脚本旨在用于CVE-2022-33679缓解措施的防御性验证。
参考资料