关于BackupOperatorToolkit
工具下载
git clone https://github.com/improsec/BackupOperatorToolkit.git(向右滑动,查看更多) 除此之外,我们也可以直接访问该项目的【Releases页面】下载该工具的与编译版本。 工具使用
该工具简称BOT,并且拥有四种不同的操作模式。 在运行该工具之前,请先运行下列命令: runas.exe /netonly /user:domain.dkbackupoperator powershell.exe(向右滑动,查看更多)
服务模式
服务模式会在远程主机上创建一个服务,该服务将在主机重新启动时执行。 该服务是通过修改远程注册表创建的,这个操作通过将“REG_OPTION_BACKUP_RESTORE”值传递给RegOpenKeyExA和RegSetValueExA来实现。 需要注意的是,我们无法立即执行服务,因为服务控制管理器数据库“SERVICES_ACTIVE_database”会在启动时加载到内存中,并且只能使用本地管理员权限进行修改: .BackupOperatorToolkit.exe SERVICE \PATHToService.exe \TARGET.DOMAIN.DK SERVICENAME DISPLAYNAME DESCRIPTION(向右滑动,查看更多)
DSRM模式
DSRM模式会在“HKLMSYSTEMCURRENTCONTROLETCONTROLLSA”中找到的DsrmAdminLogonBehavior注册表项设置为0、1或2。 将该值设置为0将只允许在恢复模式下使用DSRM帐户。 将该值设置为1将允许在目录服务服务停止且NTDS解锁时使用DSRM帐户。 将该值设置为2将允许DSRM帐户与网络身份验证(如WinRM)一起使用。 如果使用了DUMP模式,并且DSRM帐户已离线破解,请将该值设置为2,并使用将成为本地管理员的DSRM帐户登录到域控制器: .BackupOperatorToolkit.exe DSRM \TARGET.DOMAIN.DK 0||1||2(向右滑动,查看更多)
DUMP模式
DUMP模式会式将SAM、SYSTEM和SECURITY配置单元转储到远程主机上的本地路径,或将文件上传到网络共享。 一旦配置单元被转储,我们就可以使用域控制器哈希进行PtH,破解DSRM并启用网络身份验证,或者可能使用转储中的另一个帐户进行身份验证: .BackupOperatorToolkit.exe DUMP \PATHToDump \TARGET.DOMAIN.DK(向右滑动,查看更多)
IFEO模式
IFEO模式(图像文件执行选项)将使我们能够在特定进程终止时运行应用程序。这可能会在SERVICE模式之前授权拿到Shell,以防目标主机被大量使用且很少重新启动: .BackupOperatorToolkit.exe IFEO notepad.exe \PathTopwn.exe \TARGET.DOMAIN.DK(向右滑动,查看更多)
项目地址
BackupOperatorToolkit: https://github.com/improsec/BackupOperatorToolkit
【FreeBuf粉丝交流群招新啦!
在这里,拓宽网安边界
甲方安全建设干货;
乙方最新技术理念;
全球最新的网络安全资讯;
群内不定期开启各种抽奖活动;
FreeBuf盲盒、大象公仔......
扫码添加小蜜蜂微信回复“加群”,申请加入群聊】
https://github.com/mpgn/BackupOperatorToDA
原文始发于微信公众号(FreeBuf):如何使用BackupOperatorToolkit将Backup Operator权限提升至域管理权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论