- 综合排序
- 最热优先
- 最新优先
- 来自专栏渗透云笔记
域渗透学习
获取一台主机的本地管理员组成员账号的口令NTLM后,无法破解密码,使用PTH方法将管理员账号及NTLM注入当前会话作为凭据,利用该凭据可以渗透获取周围的主机的管理权限,如果对方存在相同账号及密码,进行密码碰撞是可以获取到这些主机权限的 黄金票据的制作条件: 1.域名称 2.域的SID 3.域控的Krbtgt账户的密码hash值 4.任意域用户名 制作TGT票据需要获取Krbtgt账户的密码hash,而Krbtgt账户的密码hash存储在域控上 因此黄金票据攻击测试本身就是个无解的死循环,所以他并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时 利用步骤 1.首先在域控检测是否有MS14-068这个漏洞,通过查看是否打补丁(KB3011780)来判断是否存在漏洞 2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的 实验环境及实验条件: 1.已得到域管理员账号密码 2.win7 充当被拿了shell的域内普通机器 ---- 实验步骤 1.和域控建立空链接 #与域控建立空连接net use \\192.168.1.11
2K31发布于 2020-11-03 - 来自专栏Gamma安全实验室
域渗透技巧
2.抓包向域服务器进行认证 域管理员的定位 工具: psloggedon.exe 系统自带工具。 引擎来获取远程机器的登录session,并且不需要管理员权限 smb-enum-domains.nse对域控制器进行信息收集扫描,可以获取主机信息,用户,密码策略可以用的用户等 smb-enum-users.nse在进行域渗透的时候 定位域管理进程 1、本地检查 1.运行以下命令以获取域管理员列表: net group “Domain Admins” /domain; 2.运行Tasklist /v命令以列出进程和进程用户,运行该过程的帐户应该在第 7列; 3.将任务列表与域管理员列表交叉引用,查看你是否进入域管理进程中; 2、查询活跃的域名控制器 据我所知,这个技巧是由一个NetSPI造成的。 }" quit quit 删除快照 ntdsutil snapshot "delete {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit 域数据库装载完毕
1.6K21发布于 2021-07-23 - 来自专栏全栈程序员必看
域渗透之导出域Hash
域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能 渗透测试中可以用它来拍摄 ntds.dit 文件的快照 # 创建快照 ntdsutil snapshot "activate instance ntds" create quit quit GUID 为 {aa488f5b-40c7-4044-b24f-16fd041a6de2} # 挂载快照 ntdsutil snapshot "mount GUID" quit quit # 复制 ntds.dit \GLOBALROOT\Device\HarddiskVolumeShadowCopy1 "Shadow Copy ID" 为 {aa488f5b-40c7-4044-b24f-16fd041a6de2} home/workspace/hash/hash.txt 使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务 参考 [域渗透
1.5K10编辑于 2022-07-13 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
获得该帐户的所有详细信息 base64解密 接着使用winrm进行连接,获取shell 获取root.txt 总结: 首先,我们通过nmap扫描发现目标主机是Windows Server 2008 R2 我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。 除非该值小于2;那么逻辑删除生存期默认为 60 天(Windows 2000 Server 到 Windows Server 2008)或 2 天(Windows Server 2008 R2 或更高版本
1.6K40编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Monteverde
域渗透实战之Monteverde信息收集:端口扫描使用nmap去探测端口,发现开放了53,88,139等多个端口。接着去识别其端口对应的版本。SMB未授权使用smbclient 去尝试未授权访问。 _2iESLU06U0QiHBP7L_HR75crAfpQdJ2oJEn9MWYoxFKIHxXRgAp8fwyKa5yVo5usuanLFGofYzvU6YUGwSFwHskyy_iHdmimggyI7pxp2 _2iESLU06U0QiHBP7L_HR75crAfpQdJ2oJEn9MWYoxFKIHxXRgAp8fwyKa5yVo5usuanLFGofYzvU6YUGwSFwHskyy_iHdmimggyI7pxp2 总结:Azure AD Connect 数据库漏洞 (Priv Esc)简介Azure AD Connect 服务本质上负责同步本地 AD 域和基于 Azure 的域之间的事物。 AD 中分配了全局管理员角色的 Azure 帐户Azure AD 连接首先,您需要在 Azure AD 中设置一个具有全局管理员权限的帐户,这可以通过管理门户轻松完成:创建帐户后,我们需要在有权访问域的服务器上安装
1.2K10编辑于 2023-10-27 - 来自专栏重生信息安全
域渗透基础(一)
当一个域与其他域建立了信任关系后,2个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。 其中最上层的域名为contoso.com,这个域是这棵域树的根域(root domain),此根域下面 有2个子域,分别是gsd.contoso.com和ged.contoso.com。 安装域控和DNS服务 打开Windows 2012 R2的服务器管理器,点击 添加角色和功能,然后一直点下一步直到 服务器角色 ? 2. 如何关闭取消删除Windows默认共享 net use命令详解 在对方电脑建立IPC连接, 利用IPC$入侵 执行木马 域渗透前置知识
2.6K10发布于 2020-06-10 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Resolute
域渗透实战之Resolute 信息收集 端口扫描 使用nmap去扫描端口,发现存在53、125、139、445等端口开放。 接着去收集它的版本。 其 RPC 接口 UUID 为 50ABC2A4–574D-40B3–9D66-EE4FD5FBA076,并使用 \PIPE\DNSSERVER 命名管道进行传输。 如果(g_dllDnsPluginInitialize){ g_dllDnsPluginInitialize(pCallback1,pCallback2); } } 下面是一个快速 PoC 虽然这表明如果您是 DnsAdmins 的成员,则可以接管域,但它不仅限于此 — 成功实现此技巧所需的只是一个对 DNS 服务器对象具有写入权限的帐户。 根据我的经验,这些对象的 ACL 通常不像域管理员(或受 AdminSDHolder 保护的类似组)的 ACL 那样保持干净或受监控,因此为小范围的域特权提升提供了很好的机会。
68820编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
图片获得该帐户的所有详细信息base64解密接着使用winrm进行连接,获取shell获取root.txt总结:首先,我们通过nmap扫描发现目标主机是Windows Server 2008 R2 SP1 我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。 除非该值小于2;那么逻辑删除生存期默认为 60 天(Windows 2000 Server 到 Windows Server 2008)或 2 天(Windows Server 2008 R2 或更高版本
1.7K20编辑于 2023-09-18 - 来自专栏Gamma安全实验室
域渗透-域内权限维持(上)
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据 --DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。 我们需设置为2 然后mimikatz pth sekurlsa::pth /domain:DC /User:administrator /ntml:hash dir /a \\DC\C$ 防御与检测 2.定期修改域中所有域控的DSRM账号。
1.3K20编辑于 2022-08-30 - 来自专栏红蓝对抗
域渗透——多层内网环境渗透测试(三)
本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含Laravel Debug mode RCE(CVE-2021-3129 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。 多层隧道代理、内网信息收集、NTLM与SMB Relay攻击、Psexec远控、哈希传递(PTH)、黄金票据、白银票据 攻击过程 信息收集 我们现在开始对目标的攻击,我们首先对入口机web服务器进行渗透测试 /OPGV8Ul8qMs9r1+N4+z2xF6Dztl25bn0sC2zTQmQa15iN84f+ule2w5bZy057Auys134dFMPjUt9oESPC/5bF root@ubuntu' > 目标很有可能存在第三层网络,并且机器是win7 从ipconfig /all中得知两个重要的信息点 1、DNS指向了一个域名,很有可能该机器存在域中 2、192.168.93.20这张网卡大概率是通向域控的
1.8K10编辑于 2024-03-20 - 来自专栏谢公子学安全
内网渗透(四) | 域渗透之Kerberoast攻击
以下文章来源于安全加 ,作者谢公子 作者:谢公子 CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。 Kerberoast攻击 kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 域内认证之Kerberos协议详解 Kerberoast 2.攻击者使用他们的 TGT认购权证 发出ST服务票据请求(TGS-REQ) 获取特定形式(name/host)的 servicePrincipalName (SPN)。 SPN服务主体名称的发现 传送门:域渗透之SPN服务主体名称 请求服务票据 使用Rubeus请求 Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作,其原理在于先用 这将允许在服务被访问时模拟任何域用户或伪造账户。此外,提权也是可能的,因为用户可以被添加到诸如域管理员的高权限组中。
1.8K30编辑于 2022-01-19 - 来自专栏全栈程序员必看
域渗透之Zerologon域提权漏洞
域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。此RPC接口用于发现和管理这些关系。 漏洞范围 Microsoft Windows Server 2008 R2 SP1 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Server 2016 Microsoft Windows Server 2019 Microsoft Windows Server version 2004 Installation) Microsoft Windows Server version 1909 (Server Core Installation) 影响Windows Server 2008R 2至
1K00编辑于 2022-07-13 - 来自专栏鸿鹄实验室
域渗透之GPP漏洞
密码更改方式一:SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。 然后之前的人,常常使用vbs来更改密码,而vbs又是明文密码存储,加上路径域内可随意访问,也就导致了信息漏洞的存在。 除了这个之外呢,我们也可以使用powersploit套件里面的Get-GPPPassword.ps1进行域内尝试。 ? 果有密码就会直接显示出来。 参考文章: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70- 1f2fa45dd4be?
3.6K20发布于 2021-07-06 - 来自专栏谢公子学安全
内网渗透 | 搭建域环境
搭建域环境 目录 部署域架构 如何加入域 域中主机的登录 SRV出错及解决办法 SRV记录注册不成功的可能原因 禁用域中的账户 将计算机退出域 添加域用户 部署域结构 在域架构中 以下是Windows Server 2008R2安装域控步骤,Windows Server 2012开始不是如下方式安装。 域控只允许administrators组内的用户以域身份登录,域控不能以本地身份登录。 域控中administrator组内的用户都是域管理员! 退出时需要输入域管理员账号和密码。 添加域用户 在域控上添加的用户都是域用户。 如果想在其他域成员主机上添加域用户,需要在域成员主机上以域管理员权限登录,然后执行以下命令添加域用户 net user xie 123456 /add /domain #添加域用户
2K10编辑于 2022-01-19 - 来自专栏quan9i的安全笔记
内网渗透|域环境搭建
域内环境搭建 安装域控 这里要选带有GUI的服务器,不然就只有CMD命令行,没有图形化界面 之后持续下一步和同意即可至开机界面。 我们要做的事情如下 1、分配IP 2、更改计算机名 3、安装域控制器和DNS服务器 4、升级服务器 5、创建Active Directory用户 接下首先进行分配IP的操作 路径是控制面板->网络和Internet 接下来在Win7上配置IP 本身IP需要与域控在同一C段下,这样才能访问到域控,DNS为域控IP。 此时来到系统下,点击更改设置,选择域而非工作组,域赋值为test.lab 这里输入我们刚刚设置好的用户名和密码 此时点击确定 此时提示需要重新启动,重启后发现还是本机用户,我们这里可以选择域内用户登录 ,可以是普通用户,也可以是域控 我们这里选择切换用户,然后登录域普通用户 此时登录成功后可以尝试ping下域控和DNS 可以发现是Ping通的 此时看下域控处能不能管理Win7 发现此时报错了,
64940编辑于 2023-10-19 - 来自专栏it同路人
攻防环境之域渗透
本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。 梳理思路 这是参照拓扑图 ? 能ping通2个域成员(这一步需要添加完域成员再测试) ? 域成员 将win2003加入域,配置IP,因为要求2003要能上网,所以就让它自动获取 ? 改个名,然后加入域 ? ? 下面有2种方法,亲测都OK 第一种:python的exp,不过我这里 -d 参数后面加的是IP,要不然会出问题 ? 第二种:metasploit,先找模块再生成文件 ? ? 记录下sid和NTLM sid: S-1-5-21-3768270215-1557359955-1468639445 NTLM: a93576ad393e1247ad4e7155060bdac2 利用 搞定 渗透实验 这次实验用主要用metasploit解决,当然Empire也是可以的。 WIN-2003 首先,我们的起点是一台win2003,把它作为内网渗透的突破口 ?
1.8K20发布于 2019-11-20 - 来自专栏红蓝对抗
攻防|域渗透之Sunday
在ad2012上配置网段信息为10段 配置域控ad12为10.10.10.137 web打点 信息收集 访问192.168.10.174.发现该cms为ShirneCMS 端口扫描 发现其开放了80端口和 >' into outfile '/tmp/view.tpl' 内网渗透 权限提升 发现 是ubuntu16.04 版本 , 提权exp :https://github.com/luijait/PwnKit-Exploit 判断其存在域环境。 域渗透 使用fscan进行扫描,发现其存在域控。 域控ip为:10.10.10.133 获取域控权限 ZeroLogon(CVE-2020-1472) 提权域控 发现该主机存在ZeroLogon置空漏洞。 使用脚本进行域控密码置空。 获取管理员hahsh wmiexec横向移动 使用wmiexec进行横向移动到域控。 接着使用wmiexec进行横向移动到exchange主机。
45510编辑于 2023-11-28 - 来自专栏红蓝对抗
域渗透实战之Forest
93fbd77d6d4b54d331e1a665047d4dfb$8a3d3a98956b1c0a9cf886b8e073db94b6f9be12e2703f641a7d067c9525d45822f2c69308b46c169be00137b1837c894d9df7a2fc4a9c738a115eb8c8cbed813f4ca10ef1163260e0b3c324f55ece2377d8695e914f330e2224caadefe4953435a4f0b26138aab58b45bfdd46c5c62e38dfef85776d3323e2a5abc4179ebd2b57149c7e71042d76846e41668f2b8fe34448e6e3ee75bf4d5716f47997f279af20a1d415e9e1bf1517befef8722dcda7b055065685630bebf2119c04582b81f86d3f42466cfb0c419074b889cb9a8653e6ec74b137746034ceed687c6baeb01e2ae47906f5b7 $SecPassword = ConvertTo-SecureString 'testz1@qq.com' -AsPlainText -Force2. 总结:DCSync与DCshadow是域渗透中经常会用到的技术。 DCSync 之前,获取域的账号口令信息,需要登录域服务器,在域服务器上运行代码才可以获取。DCSync 的最大特点,在于不用登录域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。 DCShadow 攻击流程根据 Luc Delsalle 的描述,DCShadow 的攻击过程包括 3 个主要个步骤:1、在目标域的 AD 活动目录注册一个伪造的 DC 中;2、使伪造的 DC 被其他的
1K61编辑于 2023-09-15 - 来自专栏糖果的实验室
MSF 下域内渗透
MSF 下域内渗透实战 先获取域内机器session ? 3. 2.net view net view /domain //查看自己的有几个域 注:一般 net view 服务器有简单的备注信息如下: \\dns dnsserver \\sqldata sqlserver 我们可以通过这个来找域控 还可以 nslookup 来找等等 3.5.搞定域控 1.溢出 ms08_067 要是局域网里面有 xp/2k 的那这个成功率比较高 但是我的域控是 2008 这里也可以用 ms14 -068 进行普通域用户提权为域管理员权限 2.DNS 溢出 DNS 服务器可能就是域控 so… 3.弱口令爆破 弱口令+已经控制的服务器口令+ 将抓下的明文+一些常用弱口令。 2.add_user admin Qwer1234!
1K21发布于 2019-11-20 - 来自专栏Urahara Blog
域渗透-信息收集基础
,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回 DNS服务器即为域控,很少将DNS与域控分开,除非内网很大存在多域环境; systeminfo 系统信息当中含有两项:Domain和Logon Server,Domain即为域名,Logon Server 为域控,但如果Domain显示为WORKGROUP则当前服务器不在域内; net config workstation 其中工作域显示域名,同样若为WORKGROUP则非域环境,登录域表明当前用户是域用户登录还是本地用户登录 在内网渗透过程中,说白了就是不断进行信息收集,扩大攻击面,除了以上收集的信息外,我们最关注的也是当前服务器上的所有系统账号密码,这一般有三种情况,首先是服务器本地账户,其次是域用户,当然如果有狗屎运的话抓到域管的账号密码也不是没有可能的 ;再者,如果当前已获得域用户账号密码,除非此时有ms14-068 kerberos漏洞或者GPP组策略漏洞可利用提升至域管权限,要不只能再继续进行拓展直至抓取到域管hash为止。
2.6K50发布于 2018-06-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号