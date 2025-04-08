无论利弊，借助 Mimikatz 轻松获取凭据的时代正逐渐走向终结。随着 Microsoft 不断强化针对凭据窃取的防御机制，且端点检测和响应 (EDR) 解决方案持续升级，横向移动、有效载荷执行、直接访问本地安全机构子系统服务 (LSASS) 等传统红队技术正面临越来越严格的监测。因此，红队社区不得不探索在 Windows 系统上窃取凭据的替代方法。
试想一下，无需依赖“高级”载荷或访问 LSASS，仅凭“就地取材”战术调用未被充分利用的组件对象模型 (COM) 对象即可实现类似的结果。如果这让你感到兴奋，请锁定注意力，因为这篇博客充满了各种有趣的技巧，你可以在下一次任务中使用。
我们将简要介绍 COM 及其分布式对应组件——分布式组件对象模型（DCOM）的基本原理，深入探讨 RunAs 设置以及身份验证胁迫产生影响的原因，并介绍一种新的凭证采集工具——RemoteMonologue 。
组件对象模型 (COM) 是 Windows 系统中历史最悠久、应用最广泛的技术之一，在日常应用程序与服务的后台悄然运行。尽管技术老旧，但 COM 对攻击者而言仍是极具价值的资源，它提供了实现横向移动、权限提升和持久化的替代路径。然而，其固有的复杂性导致其大部分攻击面尚未被充分挖掘。
对于本篇博客而言，需重点理解的核心概念如下：
从宏观层面来看，可以将 COM 对象视为具有两个主要组件的独立单元：
攻击者可以利用这些方法来促进横向移动，并且正如我们稍后将要说明的那样，可以强制进行远程 NTLM 身份验证以进行密码破解和中继攻击。
在深入探讨有趣的内容之前，我们需要更详细地讨论 COM 的一个重要组件。COM 中的应用程序标识符 (AppId) 是管理 COM 应用程序安全、身份和运行时行为的关键机制，特别是在涉及 DCOM 或需要特定安全上下文的应用程序场景中。当 COM 类注册了 AppID 时，它就会继承为该 AppID 定义的安全设置。
其中值得特别关注的安全设置是 RunAs 键，它指定在实例化时使用哪个用户帐户来执行 DCOM 对象。RunAs 键可以在以下注册表路径中找到：
在查看有关 DCOM 和 RunAs 键的 Microsoft 文档时，有一个特定值尤为引人注目：Interactive User。该值将 DCOM 对象配置为在当前登录系统控制台会话的用户的安全上下文下执行。从攻击性的角度来看，这很有趣，因为它可能允许我们在不知道受影响用户的凭据的情况下利用 DCOM 对象以其他用户的身份进行操作。
并非所有具有 AppID 的 DCOM 对象都将 RunAs 值设置为“Interactive User” 。事实上，大约一半的 AppID 根本没有设置 RunAs 值。但是，如果可以添加或修改 RunAs 值以满足我们的目的，会怎么样？
默认情况下，注册表中的 AppID 通过自主访问控制列表 (DACL) 进行安全防护，该列表赋予 TrustedInstaller 所有者权限，并将本地管理员权限限制为只读访问，具体如图 1 所示。
不过，本地管理员被授予SeTakeOwnershipPrivilege权限，允许他们获得系统对象（包括注册表键）的所有权。此权限与这次攻击相关，因为它使我们能够更改 AppID 的所有权。更改所有权后，我们可以授予自己对 AppID 的“完全控制”权限，然后修改其设置以添加或更改 RunAs 值。
一旦将 RunAs 值修改为“交互用户”，后续攻击实施便会变得简单直接。这使得我们能够强制 DCOM 对象在另一个活跃会话的上下文环境中运行。然而，该攻击的成功与否，最终取决于目标特定 DCOM 对象所暴露的属性和方法。
既然我们知道可以将 DCOM 对象转换为会话劫持工具，后续步骤是确定可以利用哪些方法和属性来完成劫持。在这项研究中，我探讨了是否可以在不运行有效载荷的情况下实现用户入侵——采取了与大多数公开的 DCOM 横向移动技术不同的方法。
我的研究重点在于实现一种“无文件化”的等效攻击效果，这意味着无需在目标系统上传输或执行任何载荷。这一差异至关重要，因为在红队行动中，向目标系统传输并运行载荷通常被视为一种“高成本”操作。通过规避这一步骤，触发常见安全控制措施的风险将显著降低。因此，我的目标是通过 DCOM 强制触发NTLM认证来入侵远程用户账户。
相较于传统横向移动技术，强制触发 NTLM 认证具备多项核心优势：
截至本文撰写时，大多数域控制器并未默认要求并强制启用 LDAP 签名和通道绑定功能。这些安全特性仅在 Windows Server 2025 中成为强制要求。这意味着，若我们能从目标系统强制触发 NTLMv1 或 WebDAV 认证，便可将其中继至 LDAP 服务，以受影响用户的身份执行操作。同理，除域控制器外，Windows 服务器默认也不要求启用 SMB 签名。
另一项重要考量是，利用 Nic Losby 于 2024 年 12 月公开的彩虹表，可以轻松破解 NTLMv1 哈希。这些表格大大减少了从 NTLMv1 哈希中恢复 NTLM 凭据所需的时间和精力。为了获得 NTLMv1 哈希而非 NTLMv2 哈希，我们需要在目标系统上修改以下注册表项：
将 LmCompatibilityLevel 设置为 2 或更低数值时，会强制系统在认证过程中降级使用 NTLMv1 协议。该修改需具备本地管理员权限，这类操作通常被称为“NetNTLMv1 降级攻击”。
或者，我们可以捕获 WebDAV 身份验证并将其中继到 LDAP，因为基于 HTTP 的身份验证可以转发到该服务。若目标系统的 WebClient 服务未以特权权限运行，我们可以远程启用该服务。启用后，我们可以通过在 UNC 路径中指定机器的 NetBIOS 名称，强制监听器进行 WebDAV NTLM 身份验证。例如：
有关 NTLM 中继攻击的详细原理，以及可中继至不同目标端点的协议类型，可参考此处。
研究过程中，我分析了 CLSID 的{03837546-098B-11D8-9414-505054503030} ServerDataCollectorSet DCOM 对象，以确定可用于身份验证强制的方法和属性。其中一个突出属性是 DataManager，幸运的是，这个 COM 对象包含一个类型库，其中更详细地定义了其方法和属性。
使用OleView.NET查看ServerDataCollectorSet的类型库时，我发现DataManager属性包含一个Extract方法，该方法需要两个参数：
CabFilename 参数的存在特别值得关注，因为它暗示了通过提供 UNC 路径触发网络认证行为的可能性。
为了验证这个理论，我为 CabFilename 参数提供了一个 UNC 路径 ( 172.22.164.58 )，指向我运行 Responder 的系统，如图 4 所示。其成果如何？成功！我们能够捕获到 NTLMv2 哈希，如图 5 所示。
接着，我测试了是否可以通过修改ServerDataCollectorSet的RunAs键，从远程系统（172.22.166.170）上的其他用户捕获凭据。为实现此目标，我使用远程注册表服务为 AppID{03837503-098B-11D8-9414-505054503030}添加 Interactive User 的值。
当目标系统上登录了另一个用户（本例中为 GALAXY\yoda）后，我访问了 ServerDataCollectorSet DCOM 对象（以 GALAXY\Administrator 身份），并执行了图 6 所示的相同 Extract 方法。我再次成功捕获到一次认证请求，但此次的认证主体是 GALAXY\yoda（如图 7 所示）。这一结果表明，将 RunAs 注册表项修改为“交互用户” 后，我们可借助 DCOM 对象劫持其他用户的会话。
下图显示了此攻击流。
另一个易被用于强制触发认证的有趣 DCOM 对象是 FileSystemImage，其 CLSID 为 {2C941FC5-975B-59BE-A960-9A2A262853A5}。该对象的特别之处在于：强制认证的触发仅需修改其属性，而非调用方法，这在基于 DCOM 的攻击中是一种相对少见的技术手段。
此处涉及的属性为 WorkingDirectory，其默认指向交互用户的 %TEMP% 文件夹。然而，若将 WorkingDirectory 的值修改为指向我们监听主机的 UNC 路径，便可捕获到 NTLMv2 认证请求，具体如图 9 和图 10 所示。
为了验证其会话劫持的功能，我远程将 AppID {2C941FD1-975B-59BE-A960-9A2A262853A5} 的 runAs 键设置为 Interactive User 来进行测试。此配置触发 FileSystemImage DCOM 对象在目标系统活跃用户的安全上下文中执行。正如预期的那样，我捕获到了该用户的 NTLMv2 哈希。
该技术表明，通过修改属性和方法来实现认证强制，从而扩大 DCOM 对象的潜在攻击面。
最后一个值得分享的 DCOM 对象是 UpdateSession，其 CLSID 为 {4CB43D7F-7EEE-4906-8698-60DA1C38F2FE}。在分析其类型库时，AddScanPackageService 方法尤为引人注目，该方法不仅要求传入 serviceName 参数，更关键的是，还需指定 scanFileLocation 参数。scanFileLocation 参数的存在暗示，它可能支持接收 UNC 路径。
在测试该理论时，我们成功捕获了 NTLMv2 认证，但接收到的不是用户账户的凭据，而是机器账户的凭据，如下图所示。
这一发现特别有趣，因为即使在添加 RunAs 键并将其设置为Interactive User之后， UpdateSession DCOM 对象仍然作为机器帐户执行网络操作。那么，为什么会发生这种情况呢？答案很简单，虽然 DCOM 对象本身在实例化用户或交互式用户的安全上下文中运行，但网络操作由一个单独的进程 svchost.exe 执行。UNC 路径会被移交给 svchost.exe处理，而该进程始终默认使用 SYSTEM 帐户来执行此类操作。因此，RunAs 键的设置不会影响此行为。
尽管 RunAs 键不影响网络操作使用的账户，捕获机器账户凭据在多种攻击场景中仍具有重要价值：
这种攻击被称为RemoteMonologue ，因为它的运作原理与InternalMonologue 类似，主要区别在于它支持远程执行攻击。该工具使用 Impacket 库使用 Python 语言开发，可自动化攻击流程。
RemoteMonologue 工具支持以下核心功能：可指定上述三个 DCOM 对象中的任意一个 (-dcom)，向指定监听主机 (-auth-to) 强制触发认证请求。此外，该工具还内置凭据喷洒模块 (-spray)，能够跨多台系统验证凭据有效性，同时具备凭证捕获能力。该工具支持 NetNTLMv1 降级攻击 (-downgrade)，并提供启用 WebClient 服务的选项 (-webclient)，以助力 HTTP 认证场景的利用。最后，工具包含查询模块 (-query），可枚举目标系统上处于活跃状态的会话用户。
以下示例展示在使用 Responder 作为监听器时，通过 NetNTLMv1 降级攻击运行 RemoteMonologue 的过程：默认情况下，如果未指定 DCOM 选项，该工具将使用 ServerDataCollectorSet DCOM 对象。
下面是另一个示例。本次攻击通过 FileSystemImage DCOM 对象执行，并启用 WebClient 服务以获取 HTTP 认证凭证，随后借助 ntlmrelayx 将该凭据中继至 LDAP 服务。
为了防范和检测本博客中描述的技术，可采取以下预防和检测措施。
预防措施：
检测机会：
RemoteMonologue 攻击充分展示了如何将未被充分利用的 DCOM 对象武器化，实施隐蔽无文件的认证强制攻击。攻击者通过修改特定属性，并结合 NetNTLMv1 降级等技术，无需部署载荷，也无需直接访问 LSASS 等敏感进程，即可攻陷用户账户并实现权限提升。
通过重点加固核心系统（例如强制启用 LDAP 签名、SMB 签名，以及禁用 NTLMv1 等旧版协议），防御者可显著缩小攻击面。此外，对注册表修改、DCOM 活动及远程服务变更实施全面监控，有助于在这些攻击技术的早期阶段发现威胁，进而降低其造成的影响。
