萌新向域渗透基础

最新推荐文章于 2024-06-05 14:04:34 发布
最新推荐文章于 2024-06-05 14:04:34 发布
阅读量1.8k 收藏 14
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/89467549
版权

萌新向域渗透基础
0x01前言
Active Directory最常用于企业基础结构,通过称为域控的一个节点来管理组织中的大量计算机。针对Active Directory的渗透测试非常好玩,并且有许多APT组织针对AD环境的攻防研发出大量黑科技。本文重点介绍Active Director的基础知识,使得我们在攻击之前对相应组件有尽可能全面的掌握。

0x02AD及其组件:
Directory Service:
Directory Service是一种分层结构,它将网络中所有资源的名称映射到其网络地址。它允许存储,组织和管理所有网络资源并定义命名结构,这使得在单个系统上管理所有设备变得更加容易。
在这里插入图片描述
Active Directory:
Active Directory是微软实现的目录服务的。 它遵循x.500规范,运行在OSI模型的应用层。 它允许管理员从单个服务器控制网络中的所有用户和资源。它将有关网络中所有用户和资源的信息存储在单个数据库目录服务数据库中。 Active Directory使用“Kerberos”进行用户身份验证,使用LDAP进行检索目录信息。
在这里插入图片描述
Domain Controller(DC):
DC就是大佬们口中经常说的域控了,它是在域中运行Active Directory目录服务的Windows Server。所有用户,用户信息,计算机及其策略均由域控控制。每个用户都必须通过域控进行身份验证才能访问域中的任何资源或服务。它为所有用户定义了可以执行哪些操作以及授予用户权限级别等策略。它让管理员更加方便地管理用户和网络中的计算机。
在这里插入图片描述
0x03AD中的命名约定:
Object:域对象,可以是AD域中的任何网络资源,可以是计算机,用户,打印机等。
Domain: 域,是组织中Object的逻辑分组。它定义了安全边界,并允许边界内的对象彼此共享数据。它存储域控中域内所有对象的信息。
Tree : 域树,是一个或多个域的集合。单个树中的所有域共享一个公共模式和全局目录,它是关于所有对象的信息的中央存储库。
Forest: 域森林,是一个或多个树的集合,它们在整个组织中共享公共目录,全局目录及配置
在这里插入图片描述

0x04Kerberos 认证
Kerberos是一种身份验证协议,用于单点登录(SSO),SSO的意思是进行一次身份验证,完成验证后我们就可以使用令牌访问有权使用的任何服务。
在这里插入图片描述
Kerberos认证过程:

用户使用用户名和密码登录

1A.密码转换为NTLM哈希且时间戳用哈希加密,并把它作为身份验证票证(TGT)请求(AS-REQ)的身份验证者发送到KDC(密钥分配中心)

1B.域控制器(KDC)检查用户信息(登录限制,组成员等)并创建票据授予票证(TGT)

  1. TGT经过加密和签名并发送给用户(AS-REP)。只有域中的Kerberos服务(KRBTGT)才能打开和读取TGT数据

3.当请求票证授予服务(TGS)票证(TGS-REQ)时,用户将TGT发送给DC。DC打开TGT并验证PAC校验----如果DC可以打开票证并校验和检出,则TGT 是有效的,TGT中的数据被有效地复制来创建TGS票证

4.使用目标服务帐户的NTLM密码哈希对TGS进行加密并发送给用户(TGS-REP)

  1. 用户连接到服务器托管服务的适当的端口并发送给TGS(AP-REQ)。 该服务使用其NTLM密码哈希打开TGS票证。
    这是在Active Directory中实现的Kerberos身份验证的总过程。

0x05:针对Kerberos的攻击

白银票据(Silver Tickets)是伪造Kerberos票证授予服务(TGS)的票也称为服务票据。如下图所示,与域控制器没有AS-REQ 和 AS-REP(步骤1和2),也没有TGS-REQ / TGS-REP(步骤3和4)通信。由于银票是伪造的TGS,所以没有与域控制器通信。
在这里插入图片描述
黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。
在这里插入图片描述
当服务器禁用DONT_REQ_PREAUTH时,通过AS-REP Roasting,攻击者可以代表计算机请求KDC并离线破解密码
在这里插入图片描述

0x06:域环境下的信息搜集
Active Directory环境中发现服务的最佳方法是通过SPN扫描(通过请求特定SPN类型的服务主体名称来查找服务),而不是使用传统的针对各个主机的端口扫描
Active Directory可以通过在多种情况下被枚举,包括:
1.在没有domain account的情况下可以枚举
2.通过枚举Active Directory可以在没有管理员权限的情况下收集所有域/森林信息,域/森林信任关系
3.通过枚举Active Directory可以检索Privilege Account,使用PowerView获取所有组的访问权限

0x07针对AD的攻击
PassTheHash:用于将服务的NTLM哈希(而不是纯文本密码)传递给远程服务器以登录
原理:在Windows系统中,通常会使用NTLM身份认证;而NTLM认证不使用明文口令,而是使用口令加密后的hash值,hash值由系统API生成(例如LsaLogonUser)。hash分为LM hash和NT hash,如果密码长度大于15,那么无法生成LM hash。从Windows Vista和Windows Server 2008开始,微软默认禁用LM hash。如果攻击者获得了hash,就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程)
攻击实现(msf)
在这里插入图片描述

PassTheCache:将属于域的一部分的基于Linux / Unix的系统的缓存凭据传递给基于Windows的计算机以访问系统。如果碰到Kerberos“* .ccache”票证cache,则可以“PassTheCache”并假定票证所有者的身份。在下图中,我们发现的缓存票证是与域管理员权限相关联的用户帐户。
在这里插入图片描述

Over-Pass-The-Hash:获取的NTLM哈希值可以传递给KDC以获取有效的Kerberos票证并将其传递给另一个系统以获取访问权限
攻击实现:(mimikatz)
在这里插入图片描述

0x08:维持域的访问权限
DCSync:
DCSync之前的漏洞利用方法是在域控制器上运行Mimikatz或Invoke-Mimikatz以获取KRBTGT密码哈希来创建黄金门票。使用Mimikatz的DCSync和适当的权限,攻击者可以通过从网络域控制器中提取密码散列以及以前的密码散列,而无需交互式登录或复制Active Directory数据库文件(ntds.dit)。
运行DCSync需要特殊权限,管理员,域管理员或企业管理员以及域控制器计算机帐户的任何成员都可以运行DCSync来提取密码数据,请注意,默认情况下不仅能读取域控制器还可以为用户提供密码数据

DCSync运行机制:
发现指定域名中的域控制器。
请求域控制器通过GetNCChanges复制用户凭据(利用目录复制服务(DRS)远程协议)
作者以前已经为域控制器复制做了一些数据包捕获,并确定了域控制器如何复制的内部DC通信流程。

DCSync命令示例:

在rd.adsecurity.org域中提取KRBTGT帐户密码数据:
Mimikatz“privilege :: debug”“lsadump :: dcsync /domain:rd.adsecurity.org / user:krbtgt”exit

在rd.adsecurity.org域中提权管理员用户密码数据:
Mimikatz“privilege :: debug”“lsadump :: dcsync /domain:rd.adsecurity.org / user:Administrator”exit

在lab.adsecurity.org域中提取出ADSDC03域控制器中计算机帐户的密码数据:
Mimikatz“privilege :: debug”“lsadump :: dcsync /domain:lab.adsecurity.org / user:adsdc03 $”exit
在这里插入图片描述

DCSync攻击有不足之处,比如攻击者无法在目标AD域中注入新的对象。当然,攻击者依然可以使用Pass-The-Hash(哈希传递)技术接管管理员账户,然后再注入对象,但这个过程更加麻烦、步骤繁琐,因此蓝队很有可能会捕捉到这个攻击行为。DCShadow攻击方法对DCSync做了些改进,因此能够弥补这些缺点。

在DCShadow攻击中,攻击者无需复制数据,只需要在目标基础架构中注册新的域控制器,以便注入AD对象或者修改已有的对象(替换该对象的属性内容)。

DCShadow:允许注册新域以将新对象添加到目标基础结构中,通过DCShadow可以做很多事情,包括ldap用户的修改,添加后门(sidhistory后门, AdminSDHolder后门,acl后门等等)
在这里插入图片描述
步骤
1、通过dcshadow更改配置架构和注册SPN值,将我们的服务器注册为Active Directory中的DC
2、在我们伪造的DC上更改数据,并利用域复制将数据同步到正常DC上。
相关API:DSBind、DSR*等
https://msdn.microsoft.com/en-us/library/ms675931(v=vs.85).aspx

DCShadow的整体工作过程可以参文末推荐资料,这里给出图示
在这里插入图片描述
0x09后记
本文介绍了进行域渗透需要了解的基础知识,以及提及了部分经典的攻击技术,可为后续的实际渗透打下理论基础。

0x10参考及推荐资料:
http://blog.securelayer7.net/exploring-exploiting-active-directory-pen-test/
https://blog.alsid.eu/dcshadow-explained-4510f52fc19d
https://www.anquanke.com/post/id/146551
https://adsecurity.org/?p=556
https://www.anquanke.com/post/id/85374
https://web.mit.edu/kerberos/krb5-1.12/doc/basic/ccache_def.html
https://medium.com/@jamie.shaw/pass-the-cache-to-domain-compromise-320b6e2ff7da

Elwood Ying
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AD域渗透 | PTH&PTK哈希传递攻击手法
m0_57221101的博客
04-13 1142
AD域渗透的第二篇,托更一下Kerberos协议的分析文章,等到攻击手法研究明白了,再把协议分析放上来,防止像那些理解不明不白的人写的东西一样祸害人。 发生情况 在高版本的windows server下账号密码不再以明文的方式保存,转而以hash的形式储存,但是假如我们在攻击的时候抓取到了用户hash也可以直接用hash来直接通过验证,模拟用户登录 原理 由于验证原理的问题密码是在本地计算成hash,然后使用hash加密时间戳作为pre-Authention-data来上传,因此如果我们使用自己的脚
网络安全技术之内网安全-02-域渗透基础
caigai5424的博客
07-10 594
在域内信息收集的时候,用CS结合相关插件,是非常高效的。
渗透基础(一)
weixin_30740581的博客
03-24 656
(该文参考整理自网上文章,相关链接附于文末) 域 工作组(Work Group) 工作组是局域网中的一个概念,由许多在同一物理地点,而且被相同的局域网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,加入工作组是为了区分用户计算机在网络中的类别,如果用户有工作组的话,在...
AD域渗透链和工具推荐
最新发布
2301_76786857的博客
06-05 271
AD域渗透链和工具
渗透测试入门9之域渗透
鹿鸣天涯
04-03 1223
渗透测试入门9之域渗透 信息搜集 powerview.ps1 Get-NetDomain - gets the name of the current user's domain Get-NetForest - gets the forest associated with the current user's domain Get-NetForestDomains - gets all...
AD(Active Directory)基础知识
蚁景网安学院
06-14 2191
本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory受攻击破坏的因素有很多,比如错误的配置、糟糕的维护程序以及管理员犯的其他很多错误。文章涉及基本和高级的概念、环境配置及攻击,内容可能有点长,但是这有助于模拟不同的攻击,模拟和了解红队的攻击行为。...
内网域渗透基础知识
huangyongkang666的博客
03-29 2638
内网域渗透基础知识 1.内网简介 ​ **内网即局域网(LAN)**是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。比如内网中的机器,输入ipconfig /all发现我们的ip是192.168…,内网中一号机器是192.168.0.1,二号机器是192.168.0.2,以此类推,但是我们在浏览器中输
渗透完全技巧.pdf
10-03
【域渗透】是针对Windows域环境进行的一种高级攻击技术,目的是控制域控制器,从而获取整个网络的控制权。【内网横向】是指在获得初步权限后,在内网中进一步扩散影响力,【权限维持】则是指在成功入侵后保持长期的...
渗透之流量劫持
02-01
windowsDomain中文翻译为域,域既是Windows网络操作系统的逻辑组织单元,也是...在网络渗透攻击中,攻击者如果获取了域的权限,那么攻击者就有可能获取公司的机密,控制公司的一切。所以域安全是企业安全最为核心的一个
渗透详解
qq_54037445的博客
10-10 3259
渗透完整步骤,内网渗透后续msf信息扫描,msf模块
AD域渗透测试笔记
渗透测试研究中心
12-16 5043
0X00域渗透-Kerberos 1.Kerberos简介 在Kerberos认证中,最主要的问题是如何证明“你是你”的问题,如当一个Client去访问Server服务器上的某服务时,Server如何判断Client是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是Kerberos解决的问题。在域渗透过程中Kerberos协议的攻防也是很重要的存在。 2.Kerberos协议框架 在Kerberos协议中主要是有三个角色的存在: 访问服..
渗透(一)-域环境搭建
黑白的博客
04-28 4619
到这里,相信你的域环境也已经成功创建,可以简单做一下调试桥接模式的之间都能ping通,kali服务器ping不通仅主机模式的仅主机模式的之间都能ping通,也能ping通我们设置的域student.comNAT模式可以ping通所有,当然也能ping通我们设置的域student.com其实在这个域环境中,只需要桥接和仅主机两种网络模式就可以模拟内外网,包括DMZ,为什么要单独加一台centos7-1,而且是NAT模式的呢?
内网渗透-完整的域渗透
热门推荐
Love&Share
11-28 1万+
文章目录域环境概念创建域创建组&用户加入域域渗透常规信息收集内网信息收集拿下20031.MySQL弱口令2.哈希传递攻击拿下域控信息收集mimikatz后渗透&其他MSF其他模块推荐阅读: 域环境 在开始域渗透之前,先来简单了解下域的一些概念 概念 域 域(Domain)是一个有安全边界的计算机集合(安全边界的意思是,在两个域中,一个域中的用户无法访问另一个域中的资源) 工作组的分散管理模式不适合大型的网络环境下工作,域模式就是针对大型的网络管理需求设计的,就是共享用户账号,计算机账号和.
记一次简单的域渗透-从Web站点上线不出网内网主机-痕迹清理
weixin_45965246的博客
09-17 520
配置信息DC IP:10.10.10.10 OS:Windows 2012(64) 应用:AD域web IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008(64) 应用:Weblogin 10.3.6 MSSQL 2008PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7(32) 应用:攻击机 IP:192.168.111.1 OS:Windows 10(64) IP:192.168.111.5 OS:K
域控安全之域渗透
kali_Ma的博客
12-04 1529
在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。 卷影拷贝服务提取NTDS 在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.dit。ntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,
域环境渗透以及域控窃权(攻陷Winows XP SP2篇、二)
qq_43093288的博客
04-09 372
环境:kali、wdinwos xp、wdinwos xp、Windows Server 2003 R2。
[内网渗透]—域外向域内信息收集、密码喷洒
Sentiment的博客
12-16 1377
当我们与目标内网建立了socks5隧道后,就可以从域外对域内机器进行信息搜集了,很多工具不用上传到目标机器,也就不易被AV检测到,但是有可能会被一些流量检测设备发现有大量socks5流量。接下来介绍下如何通过域外对域内进⾏更深的信息搜集:枚举域⽤户、查看域内⽤户、查看域内组、查看域内机器列表…LDAP(轻量⽬录访问协议),是⼀种⽤来查询与更新 Active Directory 的⽬录服务通信协议。AD 域服务利⽤ LDAP 命名路径(LDAP naming path)来表示对象在 AD 内的位置,以便⽤它来

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值