BloodHound高价值攻击路径配合Ntlm Relay

admin 2024年5月12日22:49:46评论4 views字数 1666阅读5分33秒阅读模式

 

例1

我们来看看如下的攻击路径:

user1在group1组中,而group1对user2有着完全控制的权限,user2在group2组中,group2对user3有着完全控制的权限,而user3有着dcsync的权限。

BloodHound高价值攻击路径配合Ntlm Relay

但是我们现在有一个问题,我们没有这三个账户中的任意一个,那么如何去触发HTTP认证呢?

这种网上有很多的方式,比如说你可以将文件写入网络共享来触发身份验证。

也可以使用webdav等等方式,怎么触发取决于你。

现在我们可以去创建一个机器账户,然后使用invoke-dnsupdate为它配置解析的地址,而这个解析的地址就是我们kali的地址。

如果你在实战中的话,那么地址就是你已经拿到的域机器,而你需要在你拿到的域机器上需要做一个端口转发即可,将80端口转发为其他端口。

我这里就直接使用我的kali了。

首先我们去创建一个机器账户,这里其实我感觉创建不创建都是可以的。

我们可以尝试直接使用invoke-dnsupdate去做一个DNS解析,这里的shoppingFile随便填即可。

Invoke-DNSUpdate -DNSType A -DNSName shoppingFile -DNSData 10.10.211.178

BloodHound高价值攻击路径配合Ntlm Relay

然后我们开启ntlmrelay监听。

这里需要注意的是如果你在实战中,那么还需要加上 --http-port 8080参数,这个参数所指定的端口就是你在已经拿到的机器上做的转发的端口。我这里既然都是同网段,那么就没有必要了。

这里的10.10.211.137为DC。

在监听之前,我们需要去安装ADCS服务,各位师傅可以去参考网上的安装教程,安装完成之后重启就可以使用ldaps协议了。

impacket-ntlmrelayx -i -t ldaps://10.10.211.137

BloodHound高价值攻击路径配合Ntlm Relay

开启之后,我们尝试去触发,这里我就直接手动触发了,我们直接打开浏览器,然后使用user1这个账户进行登录,我们访问的网址就是http://shoppingFile/

他会提示你需要身份验证。

BloodHound高价值攻击路径配合Ntlm Relay

这里需要输入user1的账号和密码即可。

BloodHound高价值攻击路径配合Ntlm Relay

确定之后我们会发现我们已经成功了。

BloodHound高价值攻击路径配合Ntlm Relay

这里会给你一个nc的地址,我们直接连接即可。

nc 127.0.0.1 11000

成功连接之后,我们可以使用help命令来查看相关的命令。

BloodHound高价值攻击路径配合Ntlm Relay

我们再来看看bloodhound中分析的结果。

现在我们已经拥有了user1这个账户,那么这个账户对于user2来说有着完全控制的权限。

BloodHound高价值攻击路径配合Ntlm Relay

那么我们就可以利用user1这个账户来重置user2账户的密码。

可以看到我们成功将user2这个账户密码重置为Admin1234...

BloodHound高价值攻击路径配合Ntlm Relay

那么现在我们已经拥有了user2这个账户和密码,而user2对于user3有着完全控制的权限,所以我们可以直接使用user2触发NTLM,因为我们知道了user2这个账户,所以很方便。这里你可以在任意机器上进行触发。

BloodHound高价值攻击路径配合Ntlm Relay

可以看到已经成功了。

BloodHound高价值攻击路径配合Ntlm Relay

现在我们就可以重置user3账户的密码了。

BloodHound高价值攻击路径配合Ntlm Relay

重置完成之后,我们就可以进行dcsync了。

BloodHound高价值攻击路径配合Ntlm Relay

例2

如下高价值攻击路径。

ATTACK这个账户在ATTACK Admin组中,而这个组对于域控有着Generwrite的权限,那么我们就可以尝试来配置基于资源的约束性委派了。

BloodHound高价值攻击路径配合Ntlm Relay

但是我们没有attacker这个账户,所以我们可以使用ntlm relay的方式来进行获取凭据。

现在我们使用attacker这个账户来进行触发。

BloodHound高价值攻击路径配合Ntlm Relay

可以看到我们现在获取到它的凭据了。

BloodHound高价值攻击路径配合Ntlm Relay

然后我们使用nc去连接。

我们可以尝试使用add_computer命令来创建一个机器账户。

add_computer nanchsec

BloodHound高价值攻击路径配合Ntlm Relay

创建成功之后,我们将创建的这个机器账户配置到域控基于资源的约束性委派。

set_rbcd win2016-user2$ nanchsec$

可以看到已经成功配置。

BloodHound高价值攻击路径配合Ntlm Relay

接下来直接发起s4u请求即可。

我们也可以使用clear_rbcd命令来删除基于资源的约束委派设置。

到这里就结束啦 期待和您的下次相遇!!

原文始发于微信公众号(Relay学安全):BloodHound高价值攻击路径配合Ntlm Relay

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月12日22:49:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BloodHound高价值攻击路径配合Ntlm Relayhttps://cn-sec.com/archives/2732943.html

发表评论

匿名网友 填写信息