最近在一次红队活动期间,我遇到了一种情况,我攻陷了域 A(假设为 abc.local)的域管理员
令人惊讶的是,abc.local 和我的目标域 (xyz.local) 之间没有 EA (企业管理员) 或信任关系,如下所示,但我知道 xyz.local 的用户正在访问 abc.local 的服务器或资源!
猜猜看,
我开始获得登录到这些服务器的不同域用户的明文凭证
(我启用了 wdigest,因为我无法通过这些服务器上的 NTLMhash 登录到 rdp)
在获得大约 10-12 个域用户的凭据后,我开始在晚上通过 rdp 登录以检查他们的保存进度并枚举更多信息,当时确认登录域 A(abc.local)的用户也是 xyz.local 的成员(在检查了他们的 Teams 聊天和消息之后)
为了访问 abc.local 的资源,他们需要连接到 vpn(Cisco Anyconnect),登录 vpn 的凭证是:[email protected] 和密码(我们已经通过 wdigest 获得了一些用户的密码)。
现在该怎么办???
我们有 abc.local 的域管理员,
我们有少数域用户的明文密码,
我们可以访问 rdp 服务器,
连接到 vpn 后,剩下的就是分配给他们的 IP,以便访问 abc.local 的机器或服务器
并获取 ip,最好检查 Windows 事件日志 4624(以查看是否成功进行 rdp 登录)
可以清楚看到,xyz.local 的用户在连接到 vpn 后获得了 172.16.0.0/21 范围的分配 IP,并通过该 IP 访问 abc.local(rdp 服务器 10.1.140.33)的资源
哇喔,接下来
是 crackmapexec 的时间了 
执行了 dcsync,转储了 abc.local 所有域用户的哈希值,
使用 crackmapexec 通过 smb 和域 xyz.local 对他们进行身份验证
我开始为使用相同密码的 abc.local 和 xyz.local 域用户获取成功的用户密码!
BINGO
我只是等待结果,
得到一些域用户对其 xyz.local 和 abc.local 域 ID 使用相同的密码。
再次执行哈希喷洒,但在多个 IP(172.16.0.0/21)上
猜猜怎么着:|
他们中的一些人在 172.16.0.0/21 范围内的几台机器上拥有本地管理员访问权限
是时候使用 wmiexec 或 atexec 了
并且从上面的截图中可以看到,
使用 vpn 从他的 xyz.local 机器连接到 abc.local 的特定用户有两个网络接口(一个连接到 abc.local,另一个连接到 xyz.local),
这样我就可以在没有任何信任关系的情况下对 xyz.local 进行横向移动,并且在创建了一些隧道、使用反向代理或遵循枢轴概念后,成功入侵了域管理员(xyz.local)。
TLDR;
被入侵的 abc.local 域管理员
登录到 rdp 服务器,
使用 mimikatz 修补多 rdp
,打开 wdigest,
获得域用户的明文凭证,
检查 windows 事件日志,
获得分配给 xyz.local 域用户的 ip,以使用 vpn 访问 abc.local 的资源,
使用从 abc.local 转储的哈希对 xyz.local 执行哈希喷洒
,然后 bingo
https://medium.com/@manan07/lateral-movement-between-two-domains-without-abusing-trust-relationships-7cf455952de原文始发于微信公众号(Ots安全):在不滥用信任关系的情况下在两个域之间进行横向移动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论