上文我们介绍了攻击原理,本文我们将详细介绍可以发起的攻击种类和防御措施。
攻击种类
计算机/设备帐户本质上与用户帐户相同,如果配置错误,可能同样危险。因此,可以利用计算机帐户密码/哈希值进行一些其他攻击:
1.银票攻击;
2.金票攻击;
3.过时的DNS条目;
4.攻击的替代方法。
金票和银票攻击通过利用Kerberos票据授予服务(TGS)来伪造票据。金票和银票攻击的主要区别在于银票只允许攻击者伪造特定服务的TGS票。这两者都可以被利用,因为Zerologon允许攻击者更改计算机帐户密码。
一旦攻击者可以访问计算机帐户密码哈希,该帐户就可以用作“用户”帐户来查询Active Directory,奇热但是更有趣的用例是创建银票以管理员身份访问计算机托管的服务。默认情况下,即使计算机帐户的密码多年来未更改,Active Directory也不会阻止计算机帐户访问AD资源。
什么银票攻击?
构成一张银票攻击的关键要素如下:
1.KRBTGT帐户哈希;
2.目标用户;
3.帐户SID;
4.域名;
5.目标服务;
6.目标服务器。
如果攻击者已转储Active Directory数据库或了解域控制器的计算机帐户密码,则攻击者可以使用银票以管理员身份将DC的服务作为目标并保留在Active Directory中。
我们可以通过Pass-The-Hash在DC上运行CME来获得SID,显然其他方法也可以使用whoami /user。
下面是在Mimikatz中使用的命令行,一旦我们有了SID,它就会执行攻击:
kerberos::golden /domain:purplehaze.defense /user:zephr /sid:S-1-5-21-2813455951-1798354185-1824483207 /rc4:9876543210abcdef9876543210abcdef /target:DC2.purplehaze.defense /service:cifs /ptt /id:500
针对CIFS服务的银票攻击
还有其他方法可以执行银票攻击,但是mimikatz可以通过传递票据标志和kerberos :: golden函数使其变得如此简单。
金票攻击
与银票相似,可以使用krbtgt帐户哈希,KRBTGT帐户所属域的域名和SID生成黄金票。可以为有效的域帐户或不存在的帐户创建金票,这对攻击者更具吸引力!
kerberos::golden /domain:purplehaze.defense /user:zephr /sid:S-1-5-21-2813455951-1798354185-1824483207 /rc4:9876543210abcdef9876543210abcdef /target:DC2.purplehaze.defense /ptt
金票攻击命令
虽然攻击的主要焦点一直放在AD环境中的域控制器周围,但很少关注基于DNS的攻击,在这种攻击中,攻击者可以发现较旧的DC DNS条目的陈旧DNS条目,并更改这些条目的计算机密码而不影响操作。比如,你要扫描主机网络,并找到一个不再存在的DNS条目,就可以发起攻击。
陈旧的DNS条目!
启动选择的PoC,在此示例中,我将使用mimikatz:
lsadump::zerologon /server:stream-dc.purplehaze.defense /account:stream-dc$ /exploit