1.NTLM协议
ntlm协议是windows中用于身份验证的一种协议,它通常用于在Windows域环境中对用户进行认证,确保只有经过授权的用户才能访问资源。NTLM协议工作时有三个阶段:第一阶段是用户开始身份验证时,服务器会先给一个随机数;第二阶段是将用户输入的密码和随机数生成一个哈希值,将哈希值返回给服务器;第三阶段服务器验证客户端发送来的哈希值是否正确,来确定用户是否有权限访问这个服务
风险:当得到用户的散列值后,使用工具mimikatz进行哈希传递攻击(需要有本地管理员权限),实现域内横向移动。
2.Kerberos协议
Kerberos协议是一种网络身份验证协议,当每个用户被创建时,Kerberos协议都会给用户颁发一个票据(TGT),当用户向服务器提出需要访问一个服务时,服务器将验证用户的TGT判断用户是否有权访问该服务,如果验证通过,将颁发给用户“服务票据”,用户可以用服务票据来访问特定服务。通过票据验证身份的方式避免了明文被拦截监听的风险,安全性更高。
风险:攻击者将伪造好的票据注入到内存中,使用户在进行身份验证时获得更高权限的服务票据。
3.LDAP协议
LDAP协议是一种用于访问和维护分布式目录服务信息的协议,它通常被用于在网络上的目录服务中进行身份验证、查询和管理操作。在内网渗透测试中用来查询域内信息,使用条件是需要知道目录服务器的ip地址和端口以及能进行访问目录查询服务的用户的身份认证凭证。
在LDAP通信中,您可能会遇到以下两个常用端口:
-
LDAP端口:端口号389,用于标准的LDAP通信。
-
LDAPS端口:端口号636,用于经过SSL/TLS加密的LDAP通信。
4.信息搜集
一般域内主机都是批量安装操作系统,补丁,服务,软件,所以可以通过收集本机信息猜测域内其他主机存在的漏洞
网络配置信息 ipconfig /all
端口信息 netstat -ano
系统详细信息(系统,版本,补丁,域 等)systeminfo
防火墙信息 netsh firewall show config
查询服务/进程 wmic service/process list brief
用户列表 net use
收集域信息,首先确定拥有域,且所控制的主机在域内(这些查询命令本质上都是通过LDAP协议到域控制器上进行查询的)
查询域内所有计算机 net view /domain:name
查询域内所有用户 net user /domain
查询域内所有组 net group /domain
查询域内用户的详细信息(用户名,SID,域名,状态)wmic useraccount gei /all
5.域内横向移动的方法
计划任务:使用net use 与目标机器进行ipc$远程连接,再使用copy命令将文件复制到目标主机上,最后使用at命令创建计划任务,让目标系统在指定时间运行一个程序。
哈希传递攻击:当攻击者获取了用户的散列值后,可以通过工具mimiaktz,将散列值传递给其他系统或服务进行认证,从而获得相同的访问权限,而无需知道原始的明文密码。
票据传递攻击:攻击者通过获得合法票据,然后使用这些票据来伪装成合法用户,并在网络中自由移动以获取更多权限。攻击者可以通过传递这些票据从一个受感染的主机跳转到另一个主机,实现域内横向移动。
6.内网获取域管理员权限的提权思路
攻击漏洞:手动执行命令或利用工具(Metasploit)找出系统中未及时更新补丁的有关提权的漏洞并利用。
利用Windows操作系统配置错误提权:(1)系统服务权限配置错误:Windows系统服务文件在操作系统启动时以高权限加载和执行,当一个低权限用户对该文件有写权限,即可把低权限用户无法访问的高权限服务的文件替换掉系统服务文件,再重启操作系统,文件被执行。
(2)注册表键AlwaysInstallElevated:当"AlwaysInstallElevated"键被设置为 true 时,任何权限的用户都能以system权限安装文件,也就是说可以以system权限运行恶意的msi文件。
(3)可信任服务路径漏洞:攻击者利用系统中正在运行的Windows服务文件的路径存在缺陷(路径包含空格且没有引号),将带有恶意代码的程序“适当”命名,上传到存在缺陷路径的目录中,当服务重启,该程序就会以system权限运行。
(4)自动安装配置文件:网络管理员在给内网中多台机器配置同一环境时使用脚本化批量部署的方法,在这过程中会使用安装配置文件,这个文件包含了配置信息,还可能包含本地管理员账号等信息,通过搜索并读取这类文件,查看其中是否包含明文或经过加密的密码。
组策略首选项提权:域管理员通过组策略统一更新密码时,会生成保存密码的XML文件,这个文件在共享目录中,所以所有域用户都可以访问这个文件,文件中的密码被使用AES-256加密,解密后使用这个账号密码获得本地管理员权限。
令牌窃取提权:当攻击者获取了目标机器的meterpreter shell后,寻找机器上的高权限令牌,并用该令牌登录,即可获得高权限。
7.什么是组策略
组策略是Windows操作系统中的一种管理工具
作用:用于集中管理计算机和用户的配置设置。通过组策略,系统管理员可以定义安全性设置、网络连接选项、桌面设置、软件部署规则等,然后将这些设置应用到特定的用户组或计算机上。
8.什么是DMZ
一个安全域可以划分为外网,DMZ,内网,DMZ是位于外网和内网的一个中间区域。
DMZ不能访问内网。
作用:为了解决安装防火墙后外网不能访问内网的一些服务器这个问题,可以将这类服务器放置在DMZ中,使外网可以访问这些服务器(通常需要与外部网络进行通信的一类服务器,例如web服务器,FTP服务器,电子邮件服务器等)。
9.什么是域信任:域信任是域的一种机制,允许另一个域的用户通过身份验证后访问本域的资源。域不会无条件的接收其他域的凭证,只会接收来自受信任的域的凭证,如果一个用户想要访问其他域的资源,需要使用域信任来实现。
怎么查询域信任关系:使用命令行工具nltest,执行命令nltest /domain_trusts
10.如何跨域攻击
利用域信任关系进行跨域攻击:使用mimikatz获取所需要的信息(本地域和目标域的SID,域信任密钥),然后创建信任票据,利用信任票据获取目标域中目标服务的TGS并保存到文件中,再将TGS票据注入内存,即可获得在目标域访问服务的权限。
11.什么是哈希注入,有什么用
哈希注入是一种攻击漏洞的方法,该方法通过找到账户密码的散列值,使用第三方工具(mimikatz)进行哈希传递,在不知道明文密码的情况下完成身份认证。
作用:通过哈希注入进行哈希传递攻击(pth),攻击者可以绕过密码验证机制,获得未经授权的访问权限。
12黄金票据和白银票据
两种攻击手段,用于绕过身份验证,获取未经授权访问权限。
黄金票据:当工作人员发现系统中存在恶意行为,会及时更改域管理员密码,如果忘记将krbtgt账号重置,攻击者能快速拿回域管理员权限。攻击者通过盗取域控制器的krbtgt账户的哈希值,然后使用该哈希值生成伪造的黄金票据,绕过身份验证直接访问域内资源。
在使用黄金票据进行票据传递攻击时需要知道以下信息:域管理员用户名,域名,域SID,krbtgt的散列值。
白银票据:攻击者可以通过获取服务账户的哈希值,然后使用该哈希值生成伪造的白银票据,以欺骗服务并访问特定受保护的资源。
和黄金票据的不同点在于,黄金票据是利用krbtgt的散列值获得整个域的权限,白银票据是利用特定服务账号的散列值,获得某一个服务的访问权限。
为什么会存在黄金票据和白银票据:根本原因是Kerberos身份认证协议本身存在缺陷,它使用票据进行身份验证和授权,攻击者就可以利用对票据进行伪造来获取访问权限。
13.SAML协议
SAML协议是一种用于在不同的安全域之间交换身份验证和授权数据的标准协议。SAML通常用于Web单点登录(SSO)环境中,允许用户在多个应用程序之间无需重新输入凭据即可进行身份验证。
三方模型:SAML基于一个三方信任模型,包括身份提供者(Identity Provider,IdP)、服务提供者(Service Provider,SP)和用户。
断言(Assertions):在SAML中,身份信息和授权信息以安全断言的形式传递。身份提供者生成断言,证明用户是谁,服务提供者使用该断言来决定是否授权用户访问受保护资源。
单点登录(SSO):通过SAML,用户只需一次登录即可访问与SAML集成的多个服务提供者,无需每个服务都输入凭据。
元数据交换:SAML依赖于元数据描述,其中包含了身份提供者和服务提供者的信息,包括公钥、证书等,以确保安全地交换断言。
不可伪造性:使用数字签名来保护SAML消息的完整性和机密性,防止恶意篡改或伪造。
多协议支持:SAML可以通过不同的绑定协议(如HTTP POST、HTTP Redirect、Artifact)进行消息传递,以适应不同的系统架构和技术需求。
14.OAuth协议
OAuth协议是一种用于授权的开放标准协议,允许第三方应用程序获得访问受保护资源的权限,而无需提供用户的用户名和密码。OAuth通常用于互联网上的各种应用程序之间实现安全的数据共享和访问控制。
-
授权流程:
- 客户端请求授权:客户端向授权服务器发送请求,并获得授权跳转链接。
- 用户授权:用户通过授权跳转链接登录到授权服务器,同意客户端访问其资源。
- 授权码颁发:授权服务器向客户端颁发授权码。
- 访问令牌颁发:客户端使用授权码向授权服务器请求访问令牌。
- 获取资源:客户端使用访问令牌向资源服务器请求受保护资源。
扫一扫
4105
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
