域内已知:控制了LM机器,域控为DC攻击RBCD配置机器上线CS1、查询配置了RBCD的机器shell AdFind.exe -b "DC=xbxaq,DC=com" -f "(&(samAccountType=805306369)(msDS-AllowedToActOnBehalfOfOtherIdentity=*))" -dn2、查询PH给哪台机器设置了委派,CS加载脚本进行查询powershell-import Powerview.ps1 $xbx=Get-DomainComputer PH -Properties 'ms...
概述微软在Windows Server 2012中新引入了基于资源的约束性委派(Resource Based Constrained Delegation),简称RBCD。基于资源的约束性委派将不需要通过域管理员进行修改,而是将设置属性的权限给了服务资源本身。以WEB服务器和文件服务器为例,传统的约束性委派需要在WEB服务器上设置委派属性,以指定对文件服务器上的哪一个服务进行委派。而在基于资源的约束性委派中,需要在文件服务器上设置资源委派,以允许WEB服务器对文件服务器上的服务进行委派。设置方式基于资源的约束性委派中,属性值为msDS-AllowedToActOnBehalfOfOthe...
机器账户上线域内机器前提条件机器用户的hash值机器用户设置委派的机器与服务1、查询设置委派的机器用户AdFind.exe -b "DC=xbxaq,DC=com" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto2、在机器用户上面直接查询hash值,(需要提权)cs中的提权脚本地址:https://github.com/rsmudge/ElevateKit提权成功3、继续获取机器用户的hash值10b9db776c...
委派设置约束性委派的设置分为两种:仅使用Kerberos可以使用任何身份协议 约束性委派需要指定委派的机器和协议必须设置设置对象约束性委派在域控上设置的对象分为两种1、机器账户2、注册了SPN的域用户约束性委派模型流量分析当前环境在zhong-PC计算机中设置了约束性委派,然后访问zhangsan-PC的CIFS服务必须要勾选使用任何身份验证协议选择"仅使用kerberos",即选择constrained delegation权限(S4U2Proxy)。 该选项下的"使用任何身份验证协议"则是protocol transition权限(S4...
委派设置非约束性委派设置在域控上面,设置对象分为两种机器账户点击应用-确定即可注册了SPN的用户配置了非约束性委派的机器,一旦访问该机器,TGT就会被缓存在LSASS进程的内存中,通过klist是不能查看的,必须查看内存。需注意以下问题:域控是默认配置了非约束性委派的配置的非约束性委派最好是机器用户查询已配置账户配置与没有配置用户属性对比AdFind.exe进行查询如果是在工作组中机器进行查询,需要提供域用户及密码查询机器用户配置了非约束性委派AdFind.exe -b "DC=xbxaq,DC=com" -f "(&(samAccountType=...
从Windows 2000开始,微软添加了委派功能,委派共分为三种非约束性委派(Windows Server 2000)约束性委派(Windows Server 2003)基于资源的约束委派(Windows Server 2012)非约束性委派委派是一种应用模式,指的是将域内用户的权限委派给服务账号,使得服务账号能以用户的权限在域内展开活动。非约束性委派指的是服务账号可以请求得到域内用户的TGT,服务账号使用该TGT模拟域内用户访问任意服务。被配置为非约束性的系统将把TGT存储到LSASS内存中,以便于用户能够访问终端资源。存在的问题如果配置了非约束性委派的机器被控制,就会很危险如果没有...
域内机器上线域控DC$:b11bfe9b4b21b5878366ec1973ca237f1、查看当前用户所在组net user lm /domain2、查看sid值S-1-5-21-2744095687-1279945619-29286001173、伪造LDAP 服务的白银票据mimikatz kerberos::golden /domain:xbxaq.com /sid:S-1-5-21-2744095687-1279945619-2928600117 /target:dc.xbxaq.com /service:LDAP /rc4:b11bfe9b4b21b5878366ec1973...
原理白银票据就是伪造ST票据,Kerberoasting是破解ST票据中服务用户的hash值两种之间的区别是:白银票据:伪造ST票据使用的是机器用户的hash值Kerberoasting:破解ST票据中的服务用户的hash值利用条件域名域SID值目标服务器名可利用的服务目标机器用户的NTLM-HASH值需要伪造的用户名获取机器用户的hash值mimikatz工具如果有域内管理员账户可以使用dcsync获取lsadump::dcsync /domain:xbxaq.com /all /csvsecretsdump.exe通过枚举获取hash值,前提条件拿到了域管理员账号密码secretsd...
域内机器上线域控1、已控制域内192.168.110.7机器2、查询当前用户名及所在组3、查询当前的SIDS-1-5-21-2744095687-1279945619-29286001174、获取krbtgt用户的hash值mimikatz lsadump::dcsync /domain:xbxaq.com /user:krbtgt6d342f0e6752f07076928c15ea90d5f15、通过mimikatz制作黄金票据,并且直接注入到内存中mimikatz kerberos::golden /user:administrator /domain:xbxaq.com /sid:...
原理黄金票据一般都是伪造TGT,生成TGT后不需要再和AS进行校验,直接与TGS进行校验。黄金票据可以在本地直接生成,生成的票据在域内机器或者非域内机器都可以使用。黄金票据的作用权限维持横向移动利用条件必须知道Krbtgt机器账户的HASH值域内域名域的SID值需要伪造的用户(大部分情况下都是administrator)获取域的SID值命令whoami /all获取Krbtgt的hash值两种方式:控制域控后直接查询通过dcsync查询hash值存储位置由于Krbtgt是域用户,不是域控上的本地用户,故不会存储在域控SAM文件中,而是在NTDS文件中。控制域控后使用mimikatz直接查...
KerberoastingKerberoasting 是域渗透中经常使用的一项技术,Kerberoast攻击是在TGS_REP的过程中用户将会收到由目标服务实例的NTLM hash加密生成的ST(service ticket),如果获得这个ST票据,我们可以尝试穷举口令,模拟加密过程,进行破解。原理TGS-REPTGS-REP是由TGS发送给客户端的,其中包含ticket:ST票据第一个enc-part值:ticket中的part是使用服务密钥的加密内容(server hash加密)第二个enc-part值:外层的part值是使用CT_SK加密的(CT_SK加密)ST票据的加密使用的是a...
原理概述AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式,是管理员的错误配置所导致的,管理员在域控上勾选了【不要求Kerberos】预身份验证。该攻击发生在AS-REP数据包,。默认是没有勾选的原理AS-REP(AS-Response):当KDC收到AS-REQ之后解密PA-DATA pA-ENC-TIMESTAMP,如果成功就返回AS- REP第一个enc-part:TGT中由KRBTGT哈希值加密部分第二个enc-part:TGT中由用户哈希值加密部分有无Kerberos预身份验证的区别没有Kerberos预身份验证kekeo工具tgt::ask /user:用户...
通过喷洒控制域内主机工作组用户查找administrator或者普通管理员,域内用户查找administrator或者普通域内管理员。工作组喷洒域内主机上线已经控制一台工作组机器,需要上线域控前提条件明确域控IP地址明确域名域内用户(需要枚举)操作前提条件:已控制一台工作组机器 192.168.110.7域控的IP地址为 192.168.110.5域名为xbxaq.com域控的账户名一般为administrator1、进行密码喷洒(单用户多密码),将工具上传到192.168.110.7机器中shell kerbrute.exe bruteuser --dc 192.168.110.5 ...
枚举用户原理Kerberos协议提供身份信息的数据包是AS-REQ(AS-requests)发送TGT的数据包是AS-REP(AS-response)数据包分析使用kekeo工具申请TGT时,进行抓包分析AS-REQ数据包中主要包含了一些用户的信息,由客户端发送给AS的数据包,其中由几个字段信息PA-DATA pA-ENC-TIMESTAMP 使用用户的hash,或者AES key加密时间戳 生成valuekdc-options 协商字段cname 请求的用户名realm: 域名sname 请求的服务名枚举原理在AS-REQ阶段客户端向AS发送用户名,cname字段存放用户名,AS对用...
概述WMI为Windows在power shell未发布之前,微软用于管理Windows系统的数据库工具,WMI本身的架构就是一个数据库架构,WMI服务使用DCOM或者WinRM协议。在使用wmiexec进行横向移动的时候,Windows操作系统默认不会将WMI的操作记录在日志中,因此很多APT组织都使用WMI进行攻击。相关命令命令作用wmic nicconfig get ipaddress,macaddress查看系统中网卡的IP地址和MAC地址wmic ntdomain list brief域控机器wmic useraccount list brief用户列表wmic share g...
