Active Directory渗透

已于 2022-02-11 23:44:23 修改
阅读量2.5k 收藏
点赞数
分类专栏: 渗透技巧 文章标签: 安全 网络 windows 渗透测试
于 2022-02-11 16:42:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/b10d9/article/details/122883348
版权

概述

以下针对AD域的渗透,均在已控制域内主机,并在此基础上进一步渗透域控或域内其他主机。

获取缓存的凭证

kerberos认证过程中,使用LSASS服务存储密码hash,用于TGT的更新,密码hash存储在LSASS服务对应的内存空间中。

若能够提取密码hash,则可以尝试破解。

由于LSASS服务为系统服务,故提取密码hash的前提是已经具备系统权限。

用到的工具:Mimikatz(https://github.com/gentilkiwi/mimikatz)

详细使用说明:https://github.com/gentilkiwi/mimikatz/wiki

备注:Mimikatz两种建议运行方式:1)在内存中加载;2)将LSASS内存数据导出到本地机器,再运行mimikatz。

以下为mimikatz操作命令:

mimikatz > privilege::debug    # 启用SeDebugPrivlege权限。SeDebugPrivlege权限可以调试其他账号进程的内存数据。

mimikatz > sekurlsa::logonpasswords    # 导出已登录用户的凭证信息。NTLM和SHA1两个参数即为密码hash。

mimikatz > sekurlsa::tickets    # 导出内存中的ticket信息,包含TGT和TGS。

服务账号攻击

AD认证:Kerberos 和 NTLMhttps://app.yinxiang.com/shard/s67/nl/15111961/b5b519e2-aebd-4e36-8fb7-45cdc7c6ff82

攻击思路:根据kerberos认证过程,在第三步,client向DC请求service ticket时,DC不判断client是否有权限访问请求中的SPN,都会返回请求访问的SPN对应的服务账号密码hash加密service ticket。利用这点,可以修改TGS_REQ,将SPN改为想要攻击的服务账号的SPN(比如HTTP的SPN对应的服务账号是iis_service)。DC收到调整过的请求后,会返回iis_service密码hash加密的service ticket,将service ticket导出后进行iis_service账号的密码破解。

前提条件:已控制域内主机,需要保证前两步的认证是可以通过的。

攻击过程:

1. 请求service ticket。powershell脚本将用到System.IdentityModel模块中的KerberosRequestorSecurityToken类。

PS C:\> Add-Type -AssemblyName System.IdentityModel

PS C:\> New-Object System.IdentityModel.Tokens.KerberosR
最低0.47元/天 解锁文章
包大人在此
关注
专栏目录
Active Directory 域滲透
weixin_46525641的博客
08-02 678
Active Directory 域服务( AD DS ) 角色的服务器称为域控制器。它对Windows域类型网络中的所有用户和计算机进行身份验证和授权,为所有计算机分配和执行安全策略,以及安装或更新软件。
内网渗透测试基础
weixin_45007073的博客
04-10 853
内网基础知识一、 什么是内网二、工作组(WORKGROUP)三、域(DOMAIN)四、域控制器(DOMAIN CONTROLLER DC)五、单域六、父域和子域七、域树(Tree)八、域森林(Forest)九、域名服务器(Domain Name Server,DNS)十、活动目录(Active Directory,AD)十一、安全域的划分 一、 什么是内网 内网也指局域网,是指在某一区域内由多台计算机互连而成的计算机组,组网范围通常在数千米内。在局域网中可实现工作组内日程安排等多种服务。内网是封闭的,可以由
域环境密码凭证获取
LuckySec
10-19 2193
在拿到域管理员权限之后,通常会提取所有域用户的密码Hash进行离线破解和分析,或者通过Hash传递等方式进一步横向渗透。这些密码Hash存储在域控制器数据库文件中(C:\Windows\NTDS\NTDS.dit),并包含一些附加信息,如组成员和用户。
获取域控的方法
最新发布
2301_76786857的博客
01-19 1476
在域渗透中、作为渗透测试人员,获取域控的权限基本上可以获取整个内网的权限
使用AD域管理您的本地计算机密码
Zephyr的博客
04-02 6785
此方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性,配合GPO,实现自动定期修改密码、设置密码长度、强度等,然后配置某些指的账号,能查看存储的密码,如果用户需要,可以用PowerShell或指的工具查询密码,但对非授权用户,确无法获取,从而实现本机管理员的自动化管理。
AD-Pentest-Script:Active Directory渗透测试脚本
05-19
"AD-Pentest-Script: Active Directory渗透测试脚本" 指的是一款用于对Active Directory环境进行安全评估和渗透测试的工具。渗透测试(Penetration Testing)是网络安全领域的一个重要概念,它模拟黑客攻击行为,以...
PurpleCloud:云中的小型Active Directory渗透测试实验室的基础架构即代码(IaC)部署。 部署模拟具有DC和终结点的半现实公司企业Active Directory。 紫色团队的目标包括蓝色团队检测能力和用于检测工程新方法的研发
01-28
《紫云:构建基于代码的Active Directory渗透测试实验室》 在现代网络安全领域,渗透测试扮演着至关重要的角色,它能够帮助我们发现并修复潜在的安全漏洞。紫云项目,即PurpleCloud,是一个专为云环境设计的小型...
OSCP NOTES ACTIVE DIRECTORY 1.pdf
10-06
在“OSCP NOTES ACTIVE DIRECTORY 1”这份文档中,重点聚焦于Windows Active Directory环境下的渗透测试过程,这在企业环境中尤其重要,因为Active Directory通常作为组织的核心身份验证和资源管理平台。 首先,...
Active-Directory-Security-101 手册.pdf
11-25
Active-Directory-Security-101 手册
红队技巧-域渗透的协议利用
qq_50854662的博客
03-27 1796
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除非密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击,攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了ua...
域账户的几种攻击方式
Adminxe的博客
03-06 350
域账户的几种攻击方式 0x01 Pre-Authentication 适用于在域外的时候,对域内的用户名进行枚举。利用Kerberos pre-auth的特性,在AS-REP中: 如果进行请求的用户存在,error-code为:ERR-PREAUTH-REQUIRED 如果请求的用户不存在,error-code
渗透—域用户枚举与口令爆破
内心不种满鲜花就会长满杂草
03-24 4404
Kerberos本身是一种基于身份认证的协议,在 Kerberos 协议认证的 第一阶段AS-REQ ,当用户不存在时,返回包提示错误。当用户名存在,密码正确和密码错误时,AS-REP的返回包不一样。所以可以利用这点,对域内进行域用户枚举和密码喷洒攻击。
域用户爆破(DomainPasswordSpray)
网络安全。
03-03 2332
0x01 介绍 UserList - Optional UserList parameter. This will be generated automatically if not specified. Password - A single password that will be used to perform the password spray. P...
国外hash(MD5、NTLM、LM、SHA)密码在线破解网站
热门推荐
beagreatprogrammer的专栏
06-16 3万+
PS:这是国外的hash密码在线破解网站列表,支持多种类型的hash密码,目前可查询破解的hash包括:MD5、NTLM、LM、SHA1、SHA 256-512、MySQL、WPA-PSK 。 MD5 MD5Decrypter(uk) Plain-Text Crackfoo -NNC Hashcrack Gdata MD5this MD5crack Noisette Jooml
Windows下LM-Hash与NTLM-Hash生成原理
endeav_or的博客
12-06 2万+
LM-Hash与NTLM-Hash在windows下通过SAMInside提取到的密码Hash时,可以看到有两条,分别是LM-Hash和NT-Hash,这是对同一个密码的两种不同的加密方式,下面对其生成原理做个实验。Windows下LM-Hash生成原理这里用实例展示LM-Hash的具体产生过程。我使用的明文口令是“123993”,可以看到在使用SAMInside提取出来的LM-Password是
Windows LM/NTLM HASH加密及获取工具
weixin_38023368的博客
09-04 4412
MD5和SHA1可以说是目前应用最广泛的Hash算法,而它们都是以MD4为基础设计的。那么他们都是什么意思呢?这里简单说一下: (1)MD4 MD4(RFC 1320)是MIT的Ronald L. Rivest在1990年设计的,MD是Message Digest的缩写。它适用在32位字长的处理器上用高速软件实现,它是基于32位操作数的位操作来实现的。 (2) MD5 MD5(RFC 1321)是Rivest于1991年对MD4的改进版本...
加密编码类型的密文特征分析
qq_50854662的博客
09-14 3459
加密编码类型的密文特征分析
MD5,SHA1,SHA256,NTLM,LM等Hash在线破解网站收集
海阔天空
03-18 1万+
MD5 http://hashchecker.de/find.html http://paste2.org/p/441222 http://r0ot.podzemlje.net/?x=md5 http://hashkiller.com/index.php?action=statistics http://www.md5decrypter.co.uk/http://hash.db.hk/m...
Active Directory信息收集与安全分析指南
"该资源是关于Active Directory信息收集的手册,涵盖了各种命令行工具和技术,用于在Windows域环境中获取和分析关键信息。" 在Active Directory(AD)环境中,信息收集对于系统管理员、安全专家和审计人员来说至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值