bat 域 本机管理员密码_Windows域中特殊的用户-计算机对象攻防

最新推荐文章于 2024-05-15 00:25:10 发布
最新推荐文章于 2024-05-15 00:25:10 发布
阅读量211 收藏
点赞数
文章标签: bat 域 本机管理员密码 以前的某个程序安装计算机上创建挂起 被调用的对象已与其客户端断开连接

当普通的计算机加入域中时,使用ADExplorer查看该计算机的属性:

7468c0d37a93f8c6a235c8666af12792.png

可以看到属性中包含了该计算机的名字($结尾),创建者的sid,最后密码设置时间,说明在计算机加入域的过程中,windows域为其创建了密码,用于建立与域控之间的安全通道。

如果我们拿到一台域内计算机,并没有域账号登录,此时可以切换到system权限,klist

afdc0694a1b1797b257be79d8e7acae3.png

可以看到已经有票证在里边,这里其实就是利用的计算机对象的票证,我们可以利用该票证查看域内的管理员,域控,域用户等等信息。

如何查看计算机对象的密码呢,可以借助mimikatz,有两种查看方式:

privilege::debug

sekurlsa::logonPasswords

df48e9ff6c18080fa10d1c01fe93f8d7.png

或者

privilege::debug

token::elevate

lsadump::secrets

4cde963fd81a4192d26f0a331d020d96.png

可以看到计算机对象的密码是120个字符,240字节,有时候密码包含不可见字符,会以十六进制形式显示,类似于如下所示:

3153b65216edb76f691775faaff92666.png

有时候虚拟机中的计算机切换到以前快照,由于当前计算机密码和域控中保存的密码不一致导致建立安全通道失败

e11f66f7890e8cb7748039594a3057b3.png

解决的方法大致分为以下几种:

  1. 重新加入域
  2. 修改及计算机对象密码,使计算机对象密码与域控中保存的密码相同。

第一种方法可能导致计算机中数据丢失,下边介绍第二种方法,修改计算机对象的密码。

官方提供修改计算机对象密码的工具有两种:

reset-ComputerMachinePassword

nltest /sc_change_pwd:galaxy.local

以上两种工具只能在已建立安全通道的情况下修改密码且只能修改随机密码,密码用户不能指定。

分析nltest,发现最后调用了netlogon服务,具体地,就是调用了c:windowssystem32netlogon.dll的NlChangePassword函数。

94d5619e5672a86054f44ca2a832cf9b.png

通过调用函数NlGenerateRandomBits产生随机密码,因为netlogon服务在lsass进程中,我们使用windbg进行双机调试,在RtlUnicodeString上下断点,修改SourceString内存值为我们想要的密码,比如这里为120个a:

852673a16cabed7ba715eb03a8c63aee.png

e30de2ada0d4e704d16e95e0d9cb728d.png

成功修改客户机与域控中计算机对象密码为120个a。

下边介绍计算机对象在域渗透中的应用:

  1. 维持权限,隐藏后门

默认情况下,计算机对象的密码每30天修改一次,但这是客户端自己设置的,并不受域控影响,我们可以设置计算机对象一直不修改密码

1e125ee1a701ccb0a0b1397fb914ba52.png

修改DisablePasswordChange为1可以禁止计算机自己修改密码,修改MaximumPasswordAge可以更改默认更新密码的间隔。

这样下次我们想登陆进来的时候可以直接用计算机对象的密码创建白银票据登陆系统:

e62fbb9c751fa0570e590e69435c9f82.png
  1. 提权到域控

如果计算机对象在一些高权限的组,那么就可以获取该组的权限。

比如如下计算机test1在域管理员

40cea08ba45c7907784278c5f13e9308.png

那么我们就可以hash传递,使用test1的身份获取访问域控的权限。

90344fc65197f1115f70d88d32cbe290.png

这个常用在对邮箱服务器的攻击上,因为邮箱服务器默认属于Exchange Trusted Subsystem组,对整个域具有写DACL的权限,默认可以拿到域控的权限。

  1. 利用计算机创建者身份

使用普通域用户test将test1计算机加入域,查看test1的属性,mS-DS-CreatorSID可以看到创建者的sid:

f62f54d7c5ee5b29beef8ec692bf54bf.png

查看test1计算机的DACL:

b7d59d283e8a871b0846cd3b09f4c1c9.png

可以看到多了重置密码的权限(更改密码需要原来的密码才能更改,比较鸡肋,重置密码可以在不知道原来密码的情况下重置密码)。如果我们拿到了test用户的权限,就可以使用重置密码的权限重置test1计算机的密码,如果test1在高权限的组中,可以完全获得该组的权限(见情况2)

注意:此处重置的是域控中的计算机对象的密码,并没有重置客户端密码,这会导致信任关系失败。

使用以下命令可以重置计算机对象的密码为特定值:

Set-ADAccountPassword test1$ –NewPassword (ConvertTo-SecureString -AsPlainText –String "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa" -force)

  1. 打印机漏洞

微软的spoolsv.exe注册了一个服务和若干个rpc。允许认证用户远程调用,其中RemoteFindFirstPrinterChangeNotificationEx这个函数运行传进一个unc路径,打印机服务就会去请求该unc路径。由于打印机是以system权限运行的(打印机spooler服务运行在system权限下),所以我们访问打印机rpc,迫使打印机服务向我们发起请求拿到的net-ntlm hash是机器用户hash。这样我们就拿到了使任意计算机(域控、邮件服务器对象)向任意机器发起SMB认证的权限。如果我们控制了一台无约束委派的计算机,就可以实现完全控制整个域的目的。

  1. CVE-2018-8581

这个漏洞最终可以实现邮箱服务器对象向任意用户发起基于HTTP的NTLM认证,由于HTTP到LDAP可以实现中间人攻击,我们可以中继到域控,利用邮箱服务器的writeDACL特性,可以同步域内用户hash。

参考资料:

https://adsecurity.org/?p=2753

https://adsecurity.org/?p=280

https://adsecurity.org/?p=2011

https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/pass-the-hash-with-machine-accounts

https://blog.netspi.com/machineaccountquota-is-useful-sometimes/

weixin_39653311
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
导出不活动的计算机_控制器备份_导出用户的方法
weixin_39883462的博客
12-21 323
控制器备份(导出用户的方法)Csvde1.开始->运行”并输入“CMD”2.csvde-fc:user.csv-robjectclass=user3.csvde-fc:group.csv-robjectclass=group使用LDIFDE将组织单元、组以及用户的信息导入到新安装的控制器,步骤如下:1)以管理员的身份登录,在您的新、旧控制器安装SupportT...
一键加退.bat(兼容各版本)
03-22
标题的“一键加退.bat”指的是一个批处理脚本,它可以帮助用户快速地将计算机加入或退出Microsoft Windows。这个脚本可能是由一系列CMD命令组成的,通过自动化流程简化了通常需要手动执行的加和退操作。...
bat 本机管理员密码_渗透——Local Administrator Password Solution
weixin_39645041的博客
11-23 524
0x00 前言在渗透,有关内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧。0x01 简介在实际的环境内主机的本地管理员账户往往被忽视,再加上统一的配置,内主机的本地管理员密码往往相同,这就带来了一个问题,如果获得一台内主机的本地管理员密码,其他内主机的本地管理员密码自然就知道了,解决这个问题最好的办法就是确保每台内主机有不同的密码,...
密码抓取技术
最新发布
Y22Lee的博客
05-15 1181
Windows XP SP2和Windows Server 2003开始,微软就向Windows操作系统引入了一项名叫卷影拷贝的服务(Volume Shadow Copy Service-VSS)。这种服务允许Windows系统以自动或手动的方式对文件或磁盘卷宗的当前状态进行备份(或快照),需要注意的是,在这个过程,即使。
导出不活动的计算机_满满干货丨小薇和你聊聊计算机二级的那些事儿
weixin_39525243的博客
12-14 112
“2019年3月底就要考计算机二级啦。”同学,你准备怎么过呢这么重要的考试我们怎么能懈怠呢!!!别慌!这有一份考前复习大礼包01考试的内容是什么?总的来说,计算机二级考试包含:程序设计/办公软件高级应用级,考核内容包括计算机语言与基础程序设计能力,要求参试者掌握一门计算机语言,可选类别有高级语言程序设计类、数据库程序设计类等;办公软件高级应用能力,要求参试者具有计算机应用知识及MS Of...
导出不活动的计算机_时间不会传播到Windows上的计算机
weixin_39927508的博客
12-21 534
我们有一个双Active Directory林:根目录下的ourcompany.com和生产服务器的prod.ourcompany.com.时间正在通过根正常传播,但子的服务器无法通过NTP进行同步.因此,这些服务器上的时间开始漂移,因为它们只依赖于硬件时钟.当我在其一个生产服务器上键入“net time”时,我收到以下错误:Could not locate a time-server....
定位长期不活动计算机
weixin_33859665的博客
03-10 383
很多IT管理员可能会遇到过这样的场景,客户控制器上的活动目录里Computers容器内有800多个计算机对象(实际数量可能在400左右),其有一些是以前加入,后来又因为重做系统等原因又重新加入,但是现在计算机名和以前的不一样了,可是以前计算机名还在Computers里面。造成现在里面有这么多的计算机,有没有什么方法可以判断哪些计算机是没有用的,好把它们...
bat_test.zip_BAT_TEST_dephi 串口_i-BAT2通信_电池电量显示
09-20
在这个“bat_test.zip_BAT_TEST_dephi 串口_i-BAT2通信_电池电量显示”的项目,我们可以看到几个关键的知识点,包括串口通信、Delphi编程语言、i-BAT2电池通信协议以及电池电量的显示。 首先,让我们详细了解一下...
BAT_Test.rar_TCC_IoctlCode.h_bat-test_wince_电量_电量检测
09-23
本文将详细解析标题的“BAT_Test.rar”压缩包所包含的“TCC_IoctlCode.h”文件以及“bat-test”程序,它们与wince系统的电量检测紧密相关。 首先,“TCC_IoctlCode.h”是一个头文件,通常在Windows CE,这类...
WINDOWS-BAT.rar_windows bat
09-14
标题"WINDOWS-BAT.rar_windows bat"暗示了这是一份关于Windows批处理(Batch)脚本的资源文件,很可能包含了详细的教程或参考指南。"BAT"是批处理文件的扩展名,这类文件通常包含一系列操作系统可执行的命令,用于...
BAT.zip_bat_bat-ga-pso_usefulq2g
09-20
标题的“BAT.zip_bat_bat-ga-pso_usefulq2g”表明这是一个与批处理(BAT)脚本相关的压缩文件,其可能包含了利用遗传算法(GA)和粒子群优化算法(PSO)的代码或者应用。这些是两种常用的优化算法,在编程常...
控导出加所有电脑信息到数据库的脚本
08-07
adpc_output.ps1控导出加所有电脑信息到数据库的脚本
管理员密码破解
05-26
用户帐户是保存在%systemroot%\ntds 文件夹的ntds.dit 文件,该文件不仅存储密码文件,还包含 schema 表、link 表、data table 表,这些包含了活动目录创建对象的信息、对象之间的关系、所有属性的关联、活动...
自动以管理员身份运行批处理bat文件(vbs与bat两种方法)
08-24
这个vbs脚本使用`CreateObject`函数创建了一个`WScript.Shell`对象,然后使用`Run`方法来调用bat文件,並以管理员身份运行bat文件。注意,这里需要将bat文件路径正确地传递给vbs脚本。 方法二:使用bat脚本 如果...
bat批处理修改用户密码并锁机
05-17
bat批处理修改用户密码并锁机,右键管理员运行,执行前请先手机拍照保存该文件内容
bat获取管理员权限不需要右键以管理员身份运行
01-18
bat获取管理员权限,不需要右键以管理员身份运行
删除AD不活动的账号
weixin_34293902的博客
10-21 494
删除AD的旧账号。我们公司是Windows 2008环境,用了很长一段时间后,存在很多不活动的账号(包括用户账号,计算机账号),现想将他们查询出(查询一段时间内的),进行删除.试过oldcmp及altools工具,不能实现!请问有什么更好的办法来实现? 还有我想在"已保存的查询"查询已结被禁用了三个月的用户账号,或者超过三个月,或者在三个月之内的.请问此查询如何...
windows 2008 删除不活动计算机账号,如何删除内非活动计算机账号?
weixin_35995661的博客
07-26 245
内管理很多用户计算机,但是常常有无用的用户计算机没有退出,而浪费内的资源。如何删除一段时间内没有登录非活动计算机账号呢?下文给出了详细的描述。命令:dsqueryhttp://technet.microsoft.com/en-us/library/cc755655.aspx工具:oldcmp使用OldCmp,你可以搜索、禁用或者删除非活动计算机账号。甚至更好的是,你可以创建一个简单的批...
sensor_data.battery_level = (sensor_value - D_ADC_BAT_LOPOWER)*100/ (D_ADC_BAT_HIPOWER - D_ADC_BAT_LOPOWER);
07-25
1. 从传感器的AD值减去最低电量(D_ADC_BAT_LOPOWER)。 2. 将上一步的结果乘以100。 3. 将上一步的结果除以最高电量和最低电量之间的差值(D_ADC_BAT_HIPOWER - D_ADC_BAT_LOPOWER)。 最终的结果会赋值给sensor_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值