- 综合排序
- 最热优先
- 最新优先
- 来自专栏渗透云笔记
域渗透学习
完整的域内应用访问流程如图所示,首先由客户端向域控发起认证请求,域控验证用户是否属于合法域用户,若合法则由域控响应主机请求分发TGT认证票据(黄金票据可伪造TGT),拿到证书后主机可以继续请求访问域内的应用服务 GPP中域控给域成员添加的账号信息以xml形式保存在域内主机,可以直接读取xml文件拿到账号密码。所以在拿下域内主机之后一定要打开访问域策略共享文件夹,可以看到拿到的域主机被下发了哪些策略。 获取一台主机的本地管理员组成员账号的口令NTLM后,无法破解密码,使用PTH方法将管理员账号及NTLM注入当前会话作为凭据,利用该凭据可以渗透获取周围的主机的管理权限,如果对方存在相同账号及密码,进行密码碰撞是可以获取到这些主机权限的 因此黄金票据攻击测试本身就是个无解的死循环,所以他并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时 8.使用PsExec.exe获取shell,#psexec.exe以管理员权限运行连接域控 PsExec.exe \\WIN-6JM3ECTM2CO.safe-duck.com cmd.exe ?
2K31发布于 2020-11-03 - 来自专栏Gamma安全实验室
域渗透技巧
(DC)主机定位 利用DNS记录 原理:域控服务器会向DNS服务器注册DNS记录,以便当客户端需要加入域或者和域有其他交互的时候,可以找到它。 引擎来获取远程机器的登录session,并且不需要管理员权限 smb-enum-domains.nse对域控制器进行信息收集扫描,可以获取主机信息,用户,密码策略可以用的用户等 smb-enum-users.nse在进行域渗透的时候 ,ntdsutil.exe是域控制器自带的域数据库管理工具,从windows 2008就默认自带了,因此我们可以通过域数据库,提取出域中所有的域用户信息,在域控上依次执行如下命令,导出域数据库: 创建快照 VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit 卸载快照 ntdsutil snapshot "unmount {da243bc6-2278-44b4-9155-ed8a2e1e36fc }" quit quit 删除快照 ntdsutil snapshot "delete {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit 域数据库装载完毕
1.6K21发布于 2021-07-23 - 来自专栏全栈程序员必看
域渗透之导出域Hash
域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能 渗透测试中可以用它来拍摄 ntds.dit 文件的快照 # 创建快照 ntdsutil snapshot "activate instance ntds" create quit quit GUID 为 module_source/credentials/Invoke-DCSync.ps1')";Invoke-DCSync -PWDumpFormat > hash.txt 通过NinjaCopy获得域控服务器 home/workspace/hash/hash.txt 使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务 参考 [域渗透 ]导出域用户Hash方法总结 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/119832.html原文链接:https://javaforall.cn
1.5K10编辑于 2022-07-13 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.6K40编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Monteverde
域渗透实战之Monteverde信息收集:端口扫描使用nmap去探测端口,发现开放了53,88,139等多个端口。接着去识别其端口对应的版本。SMB未授权使用smbclient 去尝试未授权访问。 .czHUwYjleGp2C1c_BMZIZkEHz-12R86qmngaiyTeTW_bM659hqetbQylvf_qCJDuxD8e28H6Oqw5Hn1Hwij7yHK-kOjUeUlXkGyzFhQbDf3CQLvFsZioUiHHiighrVjZfu6Rolv8fxoG3Q8cXS-Ms_Wm6RI-zcaK9Eyu841D51jzvYI60rC9HTummktfVURP2xf3DnskqjJF1dDlSi62gPGXGk0xZordZFiGoYAtv8qiMAiSCioN_sw_xWRJ250nvw90biQ1NkPRpSGf8jNpbYktB0Ti8 .ja68GQ9Suvm8-6a732DZy7Z7Q62XnmL0hsVnMKP3L-u7KB9W8nafebCzEmwhAoAzEqVOKfApM8VjOALGJcgz60sYbN0JtK4RaHCiF0yQogGTvgFe3FMB 总结:Azure AD Connect 数据库漏洞 (Priv Esc)简介Azure AD Connect 服务本质上负责同步本地 AD 域和基于 Azure 的域之间的事物。 AD 中分配了全局管理员角色的 Azure 帐户Azure AD 连接首先,您需要在 Azure AD 中设置一个具有全局管理员权限的帐户,这可以通过管理门户轻松完成:创建帐户后,我们需要在有权访问域的服务器上安装
1.2K10编辑于 2023-10-27 - 来自专栏重生信息安全
域渗透基础(一)
信任关系是连接在域与域之间的桥梁。 域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。 林(Forest)是有一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域,同时也是林的名称。 8. C:\WINNT\system32>ntlm 输入ntlm启动(这里的C:\WINNT\system32>指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。 如何关闭取消删除Windows默认共享 net use命令详解 在对方电脑建立IPC连接, 利用IPC$入侵 执行木马 域渗透前置知识
2.6K10发布于 2020-06-10 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Resolute
域渗透实战之Resolute 信息收集 端口扫描 使用nmap去扫描端口,发现存在53、125、139、445等端口开放。 接着去收集它的版本。 -97fb-5c48007e8573 related: - id: e61e8a88-59a9-451c-874e-70fcc9740d67 type: derived status references: - https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83 服务 原文链接:https://medium.com/@esnesenon/feature-not-bug-dnsadmin-to-dc-compromise-in-one-line-a0f779b8dc83 根据我的经验,这些对象的 ACL 通常不像域管理员(或受 AdminSDHolder 保护的类似组)的 ACL 那样保持干净或受监控,因此为小范围的域特权提升提供了很好的机会。
68820编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.7K20编辑于 2023-09-18 - 来自专栏Gamma安全实验室
域渗透-域内权限维持(上)
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据 --DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。 2.定期修改域中所有域控的DSRM账号。 : 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid
1.3K20编辑于 2022-08-30 - 来自专栏红蓝对抗
域渗透——多层内网环境渗透测试(三)
本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含Laravel Debug mode RCE(CVE-2021-3129 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。 多层隧道代理、内网信息收集、NTLM与SMB Relay攻击、Psexec远控、哈希传递(PTH)、黄金票据、白银票据 攻击过程 信息收集 我们现在开始对目标的攻击,我们首先对入口机web服务器进行渗透测试 /2DchyqMKFluHsOgU9wYfwEJAI0vVoEZ6pplxGCrjhEPTGZicJ4vTE8uj6Sq9so7YhskXtJDaR7XYaCRiVEtmaWGombSAt1P/OPGV8Ul8qMs9r1 krbtgt:aes128-cts-hmac-sha1-96:aaeee8cffc1ade3061ce78b89237a7b8 krbtgt:des-cbc-md5:9b3446f829dfbf3e
1.8K10编辑于 2024-03-20 - 来自专栏谢公子学安全
内网渗透(四) | 域渗透之Kerberoast攻击
以下文章来源于安全加 ,作者谢公子 作者:谢公子 CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。 Kerberoast攻击 kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 域内认证之Kerberos协议详解 Kerberoast SPN服务主体名称的发现 传送门:域渗透之SPN服务主体名称 请求服务票据 使用Rubeus请求 Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作,其原理在于先用 这将允许在服务被访问时模拟任何域用户或伪造账户。此外,提权也是可能的,因为用户可以被添加到诸如域管理员的高权限组中。 攻击者很可能通过破解票据的密码,从域用户权限提升到域管理员权限。因此,应该对服务账户的权限进行适当的配置,并提高密码的强度。
1.8K30编辑于 2022-01-19 - 来自专栏全栈程序员必看
域渗透之Zerologon域提权漏洞
域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。此RPC接口用于发现和管理这些关系。 漏洞概述 该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。 成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。 -t指定域控ip 运行exp,确定把域控机器账户密码置换成空 完成后使用 python secretsdump.py 域名/ADD-DC$@192.168.11.15 -no-pass 拖hash,获取域管
1K00编辑于 2022-07-13 - 来自专栏鸿鹄实验室
域渗透之GPP漏洞
密码更改方式一:SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。 然后之前的人,常常使用vbs来更改密码,而vbs又是明文密码存储,加上路径域内可随意访问,也就导致了信息漏洞的存在。 Printers.xml) 创建/更新服务(Services.xml) 计划任务(ScheduledTasks.xml) 更改本地Administrator密码 在Group Policy Preferences,选中你的域。 除了这个之外呢,我们也可以使用powersploit套件里面的Get-GPPPassword.ps1进行域内尝试。 ? 果有密码就会直接显示出来。 参考文章: https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70-
3.6K20发布于 2021-07-06 - 来自专栏谢公子学安全
内网渗透 | 搭建域环境
搭建域环境 目录 部署域架构 如何加入域 域中主机的登录 SRV出错及解决办法 SRV记录注册不成功的可能原因 禁用域中的账户 将计算机退出域 添加域用户 部署域结构 在域架构中 成为域控之后新建的用户,必须满足密码规则。如果成为域控后新建的用户不属于administrators组,则这些用户可以登录除域控外的其他域内主机。 域控只允许administrators组内的用户以域身份登录,域控不能以本地身份登录。 域控中administrator组内的用户都是域管理员! 退出时需要输入域管理员账号和密码。 添加域用户 在域控上添加的用户都是域用户。 如果想在其他域成员主机上添加域用户,需要在域成员主机上以域管理员权限登录,然后执行以下命令添加域用户 net user xie 123456 /add /domain #添加域用户
2K10编辑于 2022-01-19 - 来自专栏quan9i的安全笔记
内网渗透|域环境搭建
域内环境搭建 安装域控 这里要选带有GUI的服务器,不然就只有CMD命令行,没有图形化界面 之后持续下一步和同意即可至开机界面。 接下来在Win7上配置IP 本身IP需要与域控在同一C段下,这样才能访问到域控,DNS为域控IP。 此时来到系统下,点击更改设置,选择域而非工作组,域赋值为test.lab 这里输入我们刚刚设置好的用户名和密码 此时点击确定 此时提示需要重新启动,重启后发现还是本机用户,我们这里可以选择域内用户登录 ,可以是普通用户,也可以是域控 我们这里选择切换用户,然后登录域普通用户 此时登录成功后可以尝试ping下域控和DNS 可以发现是Ping通的 此时看下域控处能不能管理Win7 发现此时报错了, 这个其实是由于防火墙导致的,我们关闭Win7防火墙即可,而后再次来到域控右键Win7点击管理 此时可以远程对Win7进行管理
64940编辑于 2023-10-19 - 来自专栏it同路人
攻防环境之域渗透
本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。 梳理思路 这是参照拓扑图 ? 第一步:chuanxiao主域配置 域控:win2008 域成员:win2003、win2012 域控 首先在win2008配置域控,运行:dcpromo ? 下一步到 ? 命名 ? 不可上网,可ping通域控 ? 可ping通其他域成员 ? 来检查下域成员 ? chuanxiao域环境搞定 第二步 :segregation子域配置 子域控 和2008大同小异,添加角色和功能 ? 记录下主域控的SID和NTLM SID: S-1-5-21-3768270215-1557359955-1468639445 NTLM: 5e7a0d02674521d8d335bfc0eff7107e 搞定 渗透实验 这次实验用主要用metasploit解决,当然Empire也是可以的。 WIN-2003 首先,我们的起点是一台win2003,把它作为内网渗透的突破口 ?
1.8K20发布于 2019-11-20 - 来自专栏红蓝对抗
攻防|域渗透之Sunday
/ 连接dsn 'dsn' => '', // 数据库连接参数 'params' => [], // 数据库编码默认采用utf8 'charset' => 'utf8mb4', // 数据库表前缀 'prefix' => 'sa_', // 数据库调试模式 >' into outfile '/tmp/view.tpl' 内网渗透 权限提升 发现 是ubuntu16.04 版本 , 提权exp :https://github.com/luijait/PwnKit-Exploit 判断其存在域环境。 域渗透 使用fscan进行扫描,发现其存在域控。 域控ip为:10.10.10.133 获取域控权限 ZeroLogon(CVE-2020-1472) 提权域控 发现该主机存在ZeroLogon置空漏洞。 使用脚本进行域控密码置空。
45510编辑于 2023-11-28 - 来自专栏红蓝对抗
域渗透实战之Forest
hashcat解密$krb5asrep$23$svc-alfresco@HTB.LOCAL:93fbd77d6d4b54d331e1a665047d4dfb$8a3d3a98956b1c0a9cf886b8e073db94b6f9be12e2703f641a7d067c9525d45822f2c69308b46c169be00137b1837c894d9df7a2fc4a9c738a115eb8c8cbed813f4ca10ef1163260e0b3c324f55ece2377d8695e914f330e2224caadefe4953435a4f0b26138aab58b45bfdd46c5c62e38dfef85776d3323e2a5abc4179ebd2b57149c7e71042d76846e41668f2b8fe34448e6e3ee75bf4d5716f47997f279af20a1d415e9e1bf1517befef8722dcda7b055065685630bebf2119c04582b81f86d3f42466cfb0c419074b889cb9a8653e6ec74b137746034ceed687c6baeb01e2ae47906f5b7 总结:DCSync与DCshadow是域渗透中经常会用到的技术。 DCSync 攻击2015 年 8 月,Benjamin Delpy(神器 Mimikatz 的作者)和 Vincent Le Toux 发布了新版本的 Mimikatz,新增加了 DCSync 功能。 DCSync 之前,获取域的账号口令信息,需要登录域服务器,在域服务器上运行代码才可以获取。DCSync 的最大特点,在于不用登录域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。 DC 认可,能够参与域复制 ;3、强制触发域复制,将指定的新对象或修改后的对象属性同步复制到其他 DC 中;1.注册伪造的DC一台机器要想注册成为域中的一台 DC 服务器,需要在域的活动目录中注册一个
1K61编辑于 2023-09-15 - 来自专栏糖果的实验室
MSF 下域内渗透
MSF 下域内渗透实战 先获取域内机器session ? 3.收集域环境信息+找到域控 利用msf 的端口转发功能来转发一下,然后登入对方的远程桌面看看。 收集域的信息: 3.1.ipconfig /all 找到域控地址192.168.88.130 ? -068 进行普通域用户提权为域管理员权限 2.DNS 溢出 DNS 服务器可能就是域控 so… 3.弱口令爆破 弱口令+已经控制的服务器口令+ 将抓下的明文+一些常用弱口令。 为了能够获取到域管理员的凭证我们需要用域管理员登录一下远程桌面。 ?
1K21发布于 2019-11-20 - 来自专栏Urahara Blog
域渗透-信息收集基础
,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回 DNS服务器即为域控,很少将DNS与域控分开,除非内网很大存在多域环境; systeminfo 系统信息当中含有两项:Domain和Logon Server,Domain即为域名,Logon Server 为域控,但如果Domain显示为WORKGROUP则当前服务器不在域内; net config workstation 其中工作域显示域名,同样若为WORKGROUP则非域环境,登录域表明当前用户是域用户登录还是本地用户登录 在内网渗透过程中,说白了就是不断进行信息收集,扩大攻击面,除了以上收集的信息外,我们最关注的也是当前服务器上的所有系统账号密码,这一般有三种情况,首先是服务器本地账户,其次是域用户,当然如果有狗屎运的话抓到域管的账号密码也不是没有可能的 ;再者,如果当前已获得域用户账号密码,除非此时有ms14-068 kerberos漏洞或者GPP组策略漏洞可利用提升至域管权限,要不只能再继续进行拓展直至抓取到域管hash为止。
2.6K50发布于 2018-06-07
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号