shadow credential攻击的理解与利用

最新推荐文章于 2024-12-11 09:53:00 发布
最新推荐文章于 2024-12-11 09:53:00 发布
阅读量1k 收藏 6
点赞数 2
分类专栏: 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41874930/article/details/119637917
版权

文章目录

1. 前言

无意中看到的,稍微研究了下,简单理解就是一种另类的权限维持方式。
shadow credential是一个ace属性msDS-KeyCredentialLink。Windows中有一种无密码身份验证的方式叫做PKINIT,它是通过证书进行身份验证的。

2. 利用逻辑

假设我们给Tom账号添加shadow credential后,我们可以通过工具获得一个.pfx后缀文件与pfx文件密码,这是个私钥证书文件,密码就是证书的密码。

通过证书进行身份验证的逻辑是:

  1. 用私钥加密一段时间戳发送给KDC并声明自己的身份例如Tom。
  2. 服务端用Tom的公钥解密这段密文,如果成功则发送Tom的TGT给认证者。

因此我们可以利用这个pfx文件和pfx文件密码申请Tom账号的TGT,并且可以进行解密得到Tom的ntlm hash。只要shadow credential属性没有被删除,无论Tom账号的hash是否改变,我们都可以获得当前最新的hash。

至于能获得ntlm hash的原因大概是,工具可以替我们实现例如Tom申请访问Tom自己的服务。这样就会获得一张Ticket。这个TIcket里面包含一个PAC这个PAC里面有Tom的ntlm hash。我们解密这个ticket即可获得hash。

在PKINIT的认证反思下,如果我们进行TGS-REQ的时候,将我们要访问的目标服务的TGT放在addition ticket下的话,KDC就会用addition ticket中TGT中存的session key 加密即将发给我们的ticket。

这时候我们可以尝试进行自己访问自己服务的操作。这里以Tom为例,我们用Tom的TGT请求Tom自己的服务,即将Tom的TGT放在addition ticket中。这时候生成的ticket就是用Tom的TGT中的session key加密的了,而我们又是知道这个session key的(因为在AS-REP阶段就会跟TGT一起发送过来,跟普通的kerberos不太一样),因此可以解密最终得到ntlm hash。

3. 利用条件

  1. 至少一台 Windows Server 2016 域控制器。
  2. 域功能级别为win server 2016或者更高。
  3. 开启AD CS或者CA。

综上,只要能改变某个账号的msDS-KeyCredentialLink属性,且满足上面三个条件,我们就能获得这个账号的TGT和ntlm hash。

4. 谁能增添msDS-KeyCredentialLink属性

  1. 域管
  2. key credential admin
  3. 机器账号自己给自己新增
  4. 具有高权限ACL的账户

5. 利用过程

1.利用一个域控账号给其他账户添加msDS-KeyCredentialLink属性
工具下载地址:
pywhisker

python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "add" -o test1 --dc-ip dc3.bsec.corp

它会输出一个test1.pfx,还有一串密码。
在这里插入图片描述
2.获得tgt
工具下载地址:
PKINITtools

python3 gettgtpkinit.py sec.corp/win10 -cert-pfx test1.pfx -pfx-pass xwnFLH0kconJ2cfts9Gp win10.ccache -dc-ip dc3.sec.corp

在这里插入图片描述

3.获得hash

python3 getnthash.py -key 182.......   sec.corp/win10 -dc-ip dc03.sec.corp

在这里插入图片描述

6. 参考文章

Shadow Credentials: Abusing Key Trust Account Mapping for Account Takeover

红队专题-Perm权限提升维持隐匿Privilege Escalation
aming小老弟
10-27 1399
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
WAF应用防火墙
HHH's Blogs
06-03 4138
WAF学习笔记: 技术攻击: (OWASP Top-10) SQL Injection 参考http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html 什么时候可能发生SQL Injection:假设我们在浏览器中输入URLwww.sample.com,由于它只是对页面的简单请求无需对数据库动进行动态...
使用影子凭证进行域权限维持
无问社区的博客
08-08 697
本文来源无问社区,更对实战内容,渗透思路可前往查看。Microsoft 推出了 Windows Hello 企业版 (WHfB),以使用基于密钥的信任模型替换传统的基于密码的身份验证。此实现使用链接到加密证书对的 PIN 或生物识别技术,以允许域上的用户访问资源。用户或计算机帐户可以具有多个密钥凭据,这些凭据可以对应于不同的设备。该信息存储在 msDS-KeyCredentialLink 活动目录属性中,并在 Windows Server 2016 和 Windows 10 1703 中引入。
PyWhisker 使用教程
gitblog_00562的博客
09-13 1021
PyWhisker 使用教程 pywhisker Python version of the C# tool for "Shadow Credentials" attacks 项目地址: https://gitcode.com/g...
探索Windows域安全的新边界:PKINIT Tools深度解析应用
gitblog_00503的博客
08-20 447
探索Windows域安全的新边界:PKINIT Tools深度解析应用 PKINITtoolsTools for Kerberos PKINIT and relaying to AD CS项目地址:https://gitcode.com/gh_mirrors/pk/PKINITtools 在信息安全的领域里,每一步微小的创新都可能开启一扇通往新世界的大门。今天,我们将深入探讨一个专为网络安全研...
PyWhisker 项目教程
gitblog_00103的博客
09-14 255
PyWhisker 项目教程 pywhisker Python version of the C# tool for "Shadow Credentials" attacks 项目地址: https://gitcode.com/g...
推荐开源项目:PKINITtools - 强大的Kerberos身份验证工具
gitblog_00097的博客
04-26 524
推荐开源项目:PKINITtools - 强大的Kerberos身份验证工具 PKINITtoolsTools for Kerberos PKINIT and relaying to AD CS项目地址:https://gitcode.com/gh_mirrors/pk/PKINITtools 项目简介 是一个由开发者 Dirkjan Ochtman 创建并维护的开源项目,它提供了一系列命令行工...
Java安全编程:加密、认证安全实践要点
[Java安全编程:加密、认证安全实践要点](https://img-blog.csdnimg.cn/1df04d8f62f14c348562f266c981914b.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5Y-z5omL5pWs...
Windows Server 2016 Cookbook.pdf
09-13
8. **灾难恢复备份**:加强了备份和恢复策略,包括VSS(Volume Shadow Copy Service)和DFS Replication等技术,确保数据的安全和业务连续性。 本书的作者Jordan Krause是微软的MVP(Most Valuable Professional...
《黑客秘笈——渗透测试实用指南》读书笔记(1)
ShirlyTL的博客
12-20 6071
渗透学习 1.1搭建测试环境 Linux和 Windows兼备   1.2建立一个域   1.3建立其他服务器 Metasploitable2(一个优秀的 Ubuntu Linux虚拟机) 下载地址:http://sourceforge.net/projects/metasploitable/files/Metasploitable2   OWASPBWA(漏洞网站多) ht
探索PyWhisker:一款强大的Python命令行工具库
gitblog_00085的博客
04-26 390
探索PyWhisker:一款强大的Python命令行工具库 pywhisker Python version of the C# tool for "Shadow Credentials" attacks 项目地址: https://gitcode.com/gh_...
PKINITtools 项目常见问题解决方案
最新发布
gitblog_00157的博客
12-11 445
PKINITtools 项目常见问题解决方案 PKINITtools Tools for Kerberos PKINIT and relaying to AD CS 项目地址: https://gitcode.com/gh_mir...
kerberos中继攻击
ordar123的博客
04-21 443
python gets4uticket.py kerberos+ccache://rangenet.com\win10$:win10.ccache@DC主机名.rangenet.com cifs/win10.rangenet.com@rangenet.com Administrator@rangenet.com admin.ccache。python gettgtpkinit.py -pfx-base64 一大串证书 rangenet.com/win10$ win10.ccache。
Windows域提权漏洞CVE-2022-26923分析复现
C20220511的博客
06-24 3558
当Windows系统的Active Directory证书服务(CS)在域上运行时,由于机器账号中的dNSHostName属性不具有唯一性,域中普通用户可以将其更改为高权限的域控机器账号属性,然后从Active Directory证书服务中获取域控机器账户的证书,导致域中普通用户权限提升为域管理员权限。这一漏洞最早由安全研究员Oliver Lyak发现并公开分析过程和POC,微软在2022年5月的安全更新中对其进行了修补。...
域安全|AD CS Relay—ESC8
weixin_42282189的博客
03-24 7652
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x01 前言 国外安全研究人员在6月份已经披露过攻击手法—通过证书进行中继从而来达到攻击域控的目的。 https://www.exandroid.dev/2021/06/23/ad-cs-relay-attack-practical-guide/ 0x02 AD CS作用 1、证书颁发机构(CA):可以向用户、机构和服务颁发证书。 2、CA WEB注册:用户可以通过web浏览器申请证书。 3、联机响应程序.
sam文件获取解密
热门推荐
Shanfenglan's blog
08-21 30万+
前言 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM #通过SAM数据库获得用户hash的方法 远程读取 mimikatz在线读取SAM数据库 privilege::debug token::elevate lsadump::sam powershell 利用empire里面的一个powershell
ntds.dit文件的获取解密
Shanfenglan's blog
08-21 28万+
它们在哪儿? ntds.dit文件是域环境中域控上会有的一个文件,这个文件存储着域内所有用户的凭据信息(hash)。非域环境也就是在工作组环境中,有一个sam文件存储着当前主机用户的密码信息,想要破解sam文件ntds.dit文件都需要拥有一个system文件。 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM
powershell使用总结
Shanfenglan's blog
08-21 28万+
模块导入 Import-Module Recon Import-Module -name .\powerview.ps1 查看模块对应命令 Get-Command -Module name 其他 powershell.exe -ExecutionPolicy bypass -noprofile IEX(’’) 上述命令意思为 1、将执行策略设置为绕过,这样可以执行powershell脚本文件。 2、不加载配置文件 3、隐藏窗口 4、Iex命令为invove-expression的别名:接收一个字符串作
解决VMwareDevice/Credential Guard不兼容脚本发布
3. Credential Guard:Device Guard类似,Credential Guard利用虚拟化技术来隔离凭证,提高安全性,防止从网络钓鱼和其他攻击中提取敏感信息。 4. 不兼容问题:此描述暗示VMware WorkstationDevice/Credential ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Shanfenglan7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值