- 综合排序
- 最热优先
- 最新优先
- 来自专栏渗透云笔记
域渗透学习
完整的域内应用访问流程如图所示,首先由客户端向域控发起认证请求,域控验证用户是否属于合法域用户,若合法则由域控响应主机请求分发TGT认证票据(黄金票据可伪造TGT),拿到证书后主机可以继续请求访问域内的应用服务 GPP中域控给域成员添加的账号信息以xml形式保存在域内主机,可以直接读取xml文件拿到账号密码。所以在拿下域内主机之后一定要打开访问域策略共享文件夹,可以看到拿到的域主机被下发了哪些策略。 综上所述:拿到域主机一定要打开访问域策略共享文件夹,可以看到拿到的域主机被下发了哪些策略。 获取一台主机的本地管理员组成员账号的口令NTLM后,无法破解密码,使用PTH方法将管理员账号及NTLM注入当前会话作为凭据,利用该凭据可以渗透获取周围的主机的管理权限,如果对方存在相同账号及密码,进行密码碰撞是可以获取到这些主机权限的 因此黄金票据攻击测试本身就是个无解的死循环,所以他并不是一种普通的攻击方式,该攻击方式其实是一种后门的形式,属于第二次进行攻击的方法,第一次拿到域管权限之后,需要将krbtgt hash进行保存,当第二次再来进行渗透攻击时
2K31发布于 2020-11-03 - 来自专栏Gamma安全实验室
域渗透技巧
工具: SetSPN查询: windows系统自带的setspn可以查询域内的SPN #查看当前域内所有的SPN: setspn -Q */* #查看指定域xie.com注册的SPN: setspn (DC)主机定位 利用DNS记录 原理:域控服务器会向DNS服务器注册DNS记录,以便当客户端需要加入域或者和域有其他交互的时候,可以找到它。 如果本机未加入域控: 1.端口扫描,域控服务器会开放389端口, 如果和DNS同服务器,那么也会有53,域控制器兼顾整个域的认证服务,所以会开启很多认证端口。 引擎来获取远程机器的登录session,并且不需要管理员权限 smb-enum-domains.nse对域控制器进行信息收集扫描,可以获取主机信息,用户,密码策略可以用的用户等 smb-enum-users.nse在进行域渗透的时候 ,ntdsutil.exe是域控制器自带的域数据库管理工具,从windows 2008就默认自带了,因此我们可以通过域数据库,提取出域中所有的域用户信息,在域控上依次执行如下命令,导出域数据库: 创建快照
1.6K21发布于 2021-07-23 - 来自专栏全栈程序员必看
域渗透之导出域Hash
域渗透之导出域Hash 前言 网上采集了一些域内导出NTDS.dit文件的方式 Hash 值存储在域控制器中(C:\Windows\NTDS\NTDS.DIT) Mimikatz Mimikatz有一个功能 渗透测试中可以用它来拍摄 ntds.dit 文件的快照 # 创建快照 ntdsutil snapshot "activate instance ntds" create quit quit GUID 为 module_source/credentials/Invoke-DCSync.ps1')";Invoke-DCSync -PWDumpFormat > hash.txt 通过NinjaCopy获得域控服务器 home/workspace/hash/hash.txt 使用 Ntdsutil、Vssadmin 等卷影拷贝工具时,需要先开启 Volume Shadow Copy Service 服务 参考 [域渗透 ]导出域用户Hash方法总结 发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/119832.html原文链接:https://javaforall.cn
1.5K10编辑于 2022-07-13 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.5K40编辑于 2023-09-25 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Monteverde
域渗透实战之Monteverde信息收集:端口扫描使用nmap去探测端口,发现开放了53,88,139等多个端口。接着去识别其端口对应的版本。SMB未授权使用smbclient 去尝试未授权访问。 总结:Azure AD Connect 数据库漏洞 (Priv Esc)简介Azure AD Connect 服务本质上负责同步本地 AD 域和基于 Azure 的域之间的事物。 AD 中分配了全局管理员角色的 Azure 帐户Azure AD 连接首先,您需要在 Azure AD 中设置一个具有全局管理员权限的帐户,这可以通过管理门户轻松完成:创建帐户后,我们需要在有权访问域的服务器上安装
1.2K10编辑于 2023-10-27 - 来自专栏重生信息安全
域渗透基础(一)
信任关系是连接在域与域之间的桥梁。 域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域,每个域都有自己的安全策略,以及它与其他域的安全信任关系。 域是一种逻辑分组,准确的说是一种环境,域是安全的最小边界。域环境能对网络中的资源集中统一的管理,要想实现域环境,你必须要计算机中安装活动目录。域树是由一组具有连续命名空间的域组成的。如下图 ? 林(Forest)是有一棵或多棵域树组成的,每棵域树独享连续的命名空间,不同域树之间没有命名空间的连续性。林中第一棵域树的根域也整个林的根域,同时也是林的名称。 如何关闭取消删除Windows默认共享 net use命令详解 在对方电脑建立IPC连接, 利用IPC$入侵 执行木马 域渗透前置知识
2.5K10发布于 2020-06-10 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之 cascade
我们可以使用Bloodhound等工具对目标主机的域环境进行分析,发现r.thompson用户属于IT组,但不在远程登录组中。 最后,我们根据用户名称TempAdmin推测可能是之前域管的密码,使用密码重用攻击成功登录到administrator域管账号,并使用wmiexec登录域控拿到system权限。 该对象(去除了其大部分属性)将在域的tombstoneLifetime中指定的时间段内保留在分区的“已删除对象”容器中 。在此期间,该对象在技术上是可以恢复的,但其丢失的属性一般可以认为是不可恢复的。 tombstoneLifetime的值 基于创建域林时涉及的 Windows Server 版本。
1.6K20编辑于 2023-09-18 - 来自专栏红蓝对抗
【内网渗透】域渗透实战之Resolute
域渗透实战之Resolute 信息收集 端口扫描 使用nmap去扫描端口,发现存在53、125、139、445等端口开放。 接着去收集它的版本。 值得注意的是,从攻击者的角度来看,如果我们是除 DnsAdmins 之外的每个组的成员,那么我们就已经拥有该域。那么,让我们看看如果我们拥有一个 DnsAdmin 可以做什么。 ,对 DNS 服务器对象没有特殊权限(通用读取除外,该权限授予 Windows 2000 之前的兼容访问组的所有成员,默认情况下包含域用户组),该命令失败并显示拒绝访问消息。 虽然这表明如果您是 DnsAdmins 的成员,则可以接管域,但它不仅限于此 — 成功实现此技巧所需的只是一个对 DNS 服务器对象具有写入权限的帐户。 根据我的经验,这些对象的 ACL 通常不像域管理员(或受 AdminSDHolder 保护的类似组)的 ACL 那样保持干净或受监控,因此为小范围的域特权提升提供了很好的机会。
67320编辑于 2023-09-25 - 来自专栏Gamma安全实验室
域渗透-域内权限维持(上)
前言 域内权限维持的方法总结如下: DSRM 利用基于资源的约束委派进行域权限维持 Delegation Golden Ticket 利用域用户登陆脚本 万能密码(Skeleton-Key) 黄金票据 --DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的 1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。 2.定期修改域中所有域控的DSRM账号。 : 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid
1.3K20编辑于 2022-08-30 - 来自专栏谢公子学安全
内网渗透(四) | 域渗透之Kerberoast攻击
以下文章来源于安全加 ,作者谢公子 作者:谢公子 CSDN安全博客专家,擅长渗透测试、Web安全攻防、红蓝对抗。 Kerberoast攻击 kerberoast攻击发生在kerberos协议的TGS_REP阶段,关于kerberos协议详情,传送门:内网渗透 | 域内认证之Kerberos协议详解 Kerberoast SPN服务主体名称的发现 传送门:域渗透之SPN服务主体名称 请求服务票据 使用Rubeus请求 Rubeus里面的kerberoast支持对所有用户或者特定用户执行kerberoasting操作,其原理在于先用 这将允许在服务被访问时模拟任何域用户或伪造账户。此外,提权也是可能的,因为用户可以被添加到诸如域管理员的高权限组中。 攻击者很可能通过破解票据的密码,从域用户权限提升到域管理员权限。因此,应该对服务账户的权限进行适当的配置,并提高密码的强度。
1.7K30编辑于 2022-01-19 - 来自专栏红蓝对抗
域渗透——多层内网环境渗透测试(三)
本次多层网络域渗透项目旨在模拟红队攻击人员在授权情况下对目标进行渗透,从外网打点到内网横向穿透,最终获得整个内网权限的过程,包含Laravel Debug mode RCE(CVE-2021-3129 请注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。 多层隧道代理、内网信息收集、NTLM与SMB Relay攻击、Psexec远控、哈希传递(PTH)、黄金票据、白银票据 攻击过程 信息收集 我们现在开始对目标的攻击,我们首先对入口机web服务器进行渗透测试 现在用这个脚本+密码的情况下可以获取到域控机器的hash,那么打完置空之后,尝试不适用密码。来尝试一下是否能获取域控的所有用户的hash。 -security security.save LOCAL 使用脚本reinstall_original_pw.py将域控密码进行恢复,不然会导致脱域。
1.8K10编辑于 2024-03-20 - 来自专栏全栈程序员必看
域渗透之Zerologon域提权漏洞
域渗透之Zerologon域提权漏洞 组件概述 Netlogon远程协议是一个远程过程调用(RPC)接口,用于基于域的网络上的用户和计算机身份验证。 Netlogon远程协议用于维护从域成员到域控制器(DC),域的DC之间以及跨域的DC之间的域关系。此RPC接口用于发现和管理这些关系。 漏洞概述 该漏洞主要是由于在使用Netlogon安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致攻击者可以将域控管理员用户的密码置为空,从而进一步实现密码hash获取并最终获得管理员权限。 成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。 -t指定域控ip 运行exp,确定把域控机器账户密码置换成空 完成后使用 python secretsdump.py 域名/ADD-DC$@192.168.11.15 -no-pass 拖hash,获取域管
1K00编辑于 2022-07-13 - 来自专栏it同路人
攻防环境之域渗透
本文只是域渗透基础,用的都是常规手段,所以没有涉及绕过防火墙以及杀软。 梳理思路 这是参照拓扑图 ? 第一步:chuanxiao主域配置 域控:win2008 域成员:win2003、win2012 域控 首先在win2008配置域控,运行:dcpromo ? 下一步到 ? 命名 ? 能ping通2个域成员(这一步需要添加完域成员再测试) ? 域成员 将win2003加入域,配置IP,因为要求2003要能上网,所以就让它自动获取 ? 改个名,然后加入域 ? ? 不可上网,可ping通域控 ? 可ping通其他域成员 ? 来检查下域成员 ? chuanxiao域环境搞定 第二步 :segregation子域配置 子域控 和2008大同小异,添加角色和功能 ? 搞定 渗透实验 这次实验用主要用metasploit解决,当然Empire也是可以的。 WIN-2003 首先,我们的起点是一台win2003,把它作为内网渗透的突破口 ?
1.8K20发布于 2019-11-20 - 来自专栏quan9i的安全笔记
内网渗透|域环境搭建
域内环境搭建 安装域控 这里要选带有GUI的服务器,不然就只有CMD命令行,没有图形化界面 之后持续下一步和同意即可至开机界面。 接下来在Win7上配置IP 本身IP需要与域控在同一C段下,这样才能访问到域控,DNS为域控IP。 此时来到系统下,点击更改设置,选择域而非工作组,域赋值为test.lab 这里输入我们刚刚设置好的用户名和密码 此时点击确定 此时提示需要重新启动,重启后发现还是本机用户,我们这里可以选择域内用户登录 ,可以是普通用户,也可以是域控 我们这里选择切换用户,然后登录域普通用户 此时登录成功后可以尝试ping下域控和DNS 可以发现是Ping通的 此时看下域控处能不能管理Win7 发现此时报错了, 这个其实是由于防火墙导致的,我们关闭Win7防火墙即可,而后再次来到域控右键Win7点击管理 此时可以远程对Win7进行管理
62840编辑于 2023-10-19 - 来自专栏谢公子学安全
内网渗透 | 搭建域环境
搭建域环境 目录 部署域架构 如何加入域 域中主机的登录 SRV出错及解决办法 SRV记录注册不成功的可能原因 禁用域中的账户 将计算机退出域 添加域用户 部署域结构 在域架构中 成为域控之后新建的用户,必须满足密码规则。如果成为域控后新建的用户不属于administrators组,则这些用户可以登录除域控外的其他域内主机。 域控只允许administrators组内的用户以域身份登录,域控不能以本地身份登录。 域控中administrator组内的用户都是域管理员! 退出时需要输入域管理员账号和密码。 添加域用户 在域控上添加的用户都是域用户。 如果想在其他域成员主机上添加域用户,需要在域成员主机上以域管理员权限登录,然后执行以下命令添加域用户 net user xie 123456 /add /domain #添加域用户
2K10编辑于 2022-01-19 - 来自专栏鸿鹄实验室
域渗透之GPP漏洞
密码更改方式一:SYSVOL SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。 然后之前的人,常常使用vbs来更改密码,而vbs又是明文密码存储,加上路径域内可随意访问,也就导致了信息漏洞的存在。 Printers.xml) 创建/更新服务(Services.xml) 计划任务(ScheduledTasks.xml) 更改本地Administrator密码 在Group Policy Preferences,选中你的域。 除了这个之外呢,我们也可以使用powersploit套件里面的Get-GPPPassword.ps1进行域内尝试。 ? 果有密码就会直接显示出来。
3.6K20发布于 2021-07-06 - 来自专栏红蓝对抗
攻防|域渗透之Sunday
在ad2012上配置网段信息为10段 配置域控ad12为10.10.10.137 web打点 信息收集 访问192.168.10.174.发现该cms为ShirneCMS 端口扫描 发现其开放了80端口和 >' into outfile '/tmp/view.tpl' 内网渗透 权限提升 发现 是ubuntu16.04 版本 , 提权exp :https://github.com/luijait/PwnKit-Exploit 判断其存在域环境。 域渗透 使用fscan进行扫描,发现其存在域控。 域控ip为:10.10.10.133 获取域控权限 ZeroLogon(CVE-2020-1472) 提权域控 发现该主机存在ZeroLogon置空漏洞。 使用脚本进行域控密码置空。 获取管理员hahsh wmiexec横向移动 使用wmiexec进行横向移动到域控。 接着使用wmiexec进行横向移动到exchange主机。
44310编辑于 2023-11-28 - 来自专栏红蓝对抗
域渗透实战之Forest
总结:DCSync与DCshadow是域渗透中经常会用到的技术。 DCSync 之前,获取域的账号口令信息,需要登录域服务器,在域服务器上运行代码才可以获取。DCSync 的最大特点,在于不用登录域服务器,即可远程通过域数据同步复制的方式获得想要的用户口令信息。 DCShadow在具备域管理员权限条件下,攻击者可以创建伪造的域控制器,将预先设定的对象或对象属性复制到正在运行域服务器中。 DCSync 从域服务器复制出东西,DCShadow 是将数据复制至域服务器。Luc Delsalle 对这种技术进行了验证和详细的描述,并就红蓝对抗中蓝队对抗此种攻击技术的缺陷和补救方法。 DC 认可,能够参与域复制 ;3、强制触发域复制,将指定的新对象或修改后的对象属性同步复制到其他 DC 中;1.注册伪造的DC一台机器要想注册成为域中的一台 DC 服务器,需要在域的活动目录中注册一个
1K61编辑于 2023-09-15 - 来自专栏信安本原
域渗透 | 黄金票据利用
前几篇文章说了域渗透中白银票据的利用等内容,接下来我们说一下黄金票据的利用方法。 目录 0x01 介绍 0x02 实验 0x03 局限性 0x04 防御 0x01 介绍 大家再回忆一下域认证的流程,白银票据是对域认证中的ticket做了手脚,那域认证的另一个关键点TGT能不能有什么利用的方法呢 如果通过获取域SID和附加RID创建的域安全标识符(SID)不存在,那么Kerberos票据的持有者不会收到该级别的访问权限。 换句话说,在一个多域AD森林中,如果创建的Golden Ticket域不包含Enterprise Admins组,则Golden Ticket不会向林中的其他域提供管理权限。 推荐阅读 域渗透 | 白银票据利用实例 域渗透 | 白银票据防御 域渗透 | 白银票据利用 离线破解Navicat密码 php-fpm在nginx特定环境下的任意代码执行漏洞(CVE-2019-11043
1.5K20发布于 2020-03-08 - 来自专栏HACK学习
Windows域渗透-环境搭建
设置林、域功能级别和还原模式密码(这里我配置的123456q*) ? 域功能级别 域控制器运行的操作系统 Windows Server 2003 Windows Server 2012Windows Server 2008 R2Windows Server 2008Windows 重连域控服务器 ? 安装成功 ? 其他服务器加入该域 10.16.11.15 IP地址指向本地IP,DNS服务器地址需指向域控制器中的IP地址,单击【确定】 ? 加入域 ? 加入后提示如下 ? 入域 ? 填写域控的帐号密码 ? 成功入域 ? 重启 ? 重连 ? ? 10.16.11.18 改DNS ? 加入域 ? 输入域控的帐号密码然后成功入域 ? 10.16.11.19 改DNS ? 入域 ? 加入域 ? 重启 ? 重连 ? ? 至此,域环境搭建完毕 ? 来源: Sp4ce's Blog 作者: Sp4ce 链接: https://0x20h.com/p/242f.html
3K30发布于 2019-08-06
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号