例1
我们来看看如下的攻击路径:
user1在group1组中,而group1对user2有着完全控制的权限,user2在group2组中,group2对user3有着完全控制的权限,而user3有着dcsync的权限。
但是我们现在有一个问题,我们没有这三个账户中的任意一个,那么如何去触发HTTP认证呢?
这种网上有很多的方式,比如说你可以将文件写入网络共享来触发身份验证。
也可以使用webdav等等方式,怎么触发取决于你。
现在我们可以去创建一个机器账户,然后使用invoke-dnsupdate为它配置解析的地址,而这个解析的地址就是我们kali的地址。
如果你在实战中的话,那么地址就是你已经拿到的域机器,而你需要在你拿到的域机器上需要做一个端口转发即可,将80端口转发为其他端口。
我这里就直接使用我的kali了。
首先我们去创建一个机器账户,这里其实我感觉创建不创建都是可以的。
我们可以尝试直接使用invoke-dnsupdate去做一个DNS解析,这里的shoppingFile随便填即可。
Invoke-DNSUpdate -DNSType A -DNSName shoppingFile -DNSData 10.10.211.178
这里需要注意的是如果你在实战中,那么还需要加上 --http-port 8080参数,这个参数所指定的端口就是你在已经拿到的机器上做的转发的端口。我这里既然都是同网段,那么就没有必要了。
这里的10.10.211.137为DC。
在监听之前,我们需要去安装ADCS服务,各位师傅可以去参考网上的安装教程,安装完成之后重启就可以使用ldaps协议了。
impacket-ntlmrelayx -i -t ldaps://10.10.211.137
开启之后,我们尝试去触发,这里我就直接手动触发了,我们直接打开浏览器,然后使用user1这个账户进行登录,我们访问的网址就是http://shoppingFile/
他会提示你需要身份验证。
这里需要输入user1的账号和密码即可。
确定之后我们会发现我们已经成功了。
这里会给你一个nc的地址,我们直接连接即可。
nc 127.0.0.1 11000成功连接之后,我们可以使用help命令来查看相关的命令。
我们再来看看bloodhound中分析的结果。
现在我们已经拥有了user1这个账户,那么这个账户对于user2来说有着完全控制的权限。
那么我们就可以利用user1这个账户来重置user2账户的密码。
可以看到我们成功将user2这个账户密码重置为Admin1234...
那么现在我们已经拥有了user2这个账户和密码,而user2对于user3有着完全控制的权限,所以我们可以直接使用user2触发NTLM,因为我们知道了user2这个账户,所以很方便。这里你可以在任意机器上进行触发。
可以看到已经成功了。
现在我们就可以重置user3账户的密码了。
重置完成之后,我们就可以进行dcsync了。
例2
如下高价值攻击路径。
ATTACK这个账户在ATTACK Admin组中,而这个组对于域控有着Generwrite的权限,那么我们就可以尝试来配置基于资源的约束性委派了。
但是我们没有attacker这个账户,所以我们可以使用ntlm relay的方式来进行获取凭据。
现在我们使用attacker这个账户来进行触发。
可以看到我们现在获取到它的凭据了。
然后我们使用nc去连接。
我们可以尝试使用add_computer命令来创建一个机器账户。
add_computer nanchsec
创建成功之后,我们将创建的这个机器账户配置到域控基于资源的约束性委派。
set_rbcd win2016-user2$ nanchsec$可以看到已经成功配置。
接下来直接发起s4u请求即可。
我们也可以使用clear_rbcd命令来删除基于资源的约束委派设置。
到这里就结束啦 期待和您的下次相遇!!
原文始发于微信公众号(Relay学安全):BloodHound高价值攻击路径配合Ntlm Relay
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论