透(二)之基础知识-工作组介绍

内网渗透(十七)之内网信息收集-powershell收集域内信息和敏感数据定位

内网渗透(十八)之Windows协议认证和密码抓取-本地认证(NTML哈希和LM哈希

内网渗透(十九)之Windows协议认证和密码抓取-网络认证(基于挑战响应认证的NTLM协议)

内网渗透(二十)之Windows协议认证和密码抓取-域认证(Kerberos协议)

内网渗透(二十一)之Windows协议认证和密码抓取-Golden

Ticket黄金票据制作原理及利用方式

内网渗透(二十二)之Windows协议认证和密码抓取-Silver

Ticket白银票据制作原理及利用方式

内网渗透(二十三)之Windows协议认证和密码抓取-Mimikatz介绍和各种模块使用方法

内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码

内网渗透(二十五)之Windows协议认证和密码抓取-使用Hashcat和在线工具破解NTLM

Hash

内网渗透(二十六)之Windows协议认证和密码抓取-浏览器、数据库等其他密码的抓取

内网渗透(二十七)之Windows协议认证和密码抓取-Windows其他类型抓取NTLM

HASH工具

内网渗透(二十八)之Windows协议认证和密码抓取-Windows

内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码的方式和抓取密码的防范措施

系列文章第四章节之横向移动篇

内网渗透(三十一)之横向移动篇-利用远控工具todesk横向移动

内网渗透(三十二)之横向移动篇-利用远控工具GoToHTTP横向移动

内网渗透(三十三)之横向移动篇-利用远控工具RustDESK横向移动

内网渗透(三十七)之横向移动篇-Pass

内网渗透(四十)之横向移动篇-ms14-068传递获取域管横向移动

内网渗透(四十一)之横向移动篇-PsExec工具远程命令执行横向移动

内网渗透(四十五)之横向移动篇-WinRM远程执行命令横向移动

内网渗透(四十六)之横向移动篇-使用系统漏洞ms17010横向移动

系列文章第五章节之域控安全和跨域攻击篇

内网渗透(四十七)之域控安全和跨域攻击-多种方式提取和移动ntds.dit文件

内网渗透(四十八)之域控安全和跨域攻击-多种方式在线读取ntds.dit文件中的hash值

内网渗透(四十九)之域控安全和跨域攻击-多种方式离线读取ntds.dit文件中的hash值

内网渗透(五十)之域控安全和跨域攻击-使用其他工具导出域账号和散列值

内网渗透(五十三)之域控安全和跨域攻击-利用域信任密钥获取目标域控

内网渗透(五十四)之域控安全和跨域攻击-利用krbtgt哈希值获取目标域控

非约束委派攻击

从使用的角度用户张三访问一台机器A于是向DC发起认证DC会检查A的机器账号的属性如果是非约束委派的话会把用户的TGT放在ST票据中并一起发送给A,这样A在验证ST票据的同时也获取到了用户的TGT并把TGT储存在自己的lsass进程中以备下次重用从而A就可以使用这个TGT来模拟这个张三访问任何服务。

从攻击角度来说如果攻击者拿到了一台配置了非约束委派的机器权限可以诱导管理员来访问该机器然后可以得到管理员的TGT从而模拟管理员访问任意服务相当于拿下了整个域环境或者结合打印机漏洞让域管用户强制回连以缓存

TGT

一个域内用户访问WEB服务但是一些资源在文件服务上这个时候就需要委派需要web系统代表用户A去访问文件服务的资源

如果是域管访问web系统我们就可以通过web系统伪造域管的身份登录域控

利用非约束委派域控主动访问控制域控

机器位置机器IP机器名机器登录用户所属域委派配置域内域控制器192.168.41.10DChack\administratorhack.com域控域内机器192.168.41.14WIN-10hack\jackhack.com配置了非约束性委派

实验前提控制了域内的一台机器WIN-10并且该机器的服务账号配置了非约束委派如下

1、使用Adfind查询域内非约束委派机器账号,上传Adfind到目标机器上

AdFind.exe

(userAccountControl:1.2.840.113556.1.4.803:524288))

distinguishedName2、我们先去访问域控是不能访问的

dir

\\dc.hack.com\c$3、这个时候如果域管访问了WIN-10机器,我们的内存中就会有域管的TGT就可以访问任意机器了在域控上执行访问WIN-10(模仿域管访问了配置了非约束性委派的主机)

net

1234564、去WIN-10中导出内存中的票据,这里由于导出票据需要高权限所以在这一步我们需要进行提权

sekurlsa::tickets

[0;54acdf]-2-0-60a10000-AdministratorkrbtgtHACK.COM.kirbi6、访问域控

shell

机器位置机器IP机器名机器登录用户所属域委派配置域内域控制器192.168.41.10DChack\administratorhack.com域控域内机器192.168.41.14WIN-10hack\jackhack.com配置了非约束性委派

实验前提控制了域内的一台机器WIN-10并且该机器的服务账号配置了非约束委派如下

Windows

打印系统远程协议MS-RPRN中的一种旧的但是默认启用的方法在该方法中域用户可以使用

MS-RPRN

RpcRemoteFindFirstPrinterChangeNotification(Ex)

Spooler

进行实验之前一定要把所有的防火墙关闭所有的防火墙关闭所有的防火墙关闭

1、首先利用Rubeus在

DC$再利用SpoolSample强制域控打印机回连需在域用户进程上执行所以这里切换成了普通域用户帐号去执行

SpoolSample.exe

/csv如果当前的用户是管理员就可以使用PTH攻击如果是普通的域用户就使用黄金票据

或者使用计划任务上线