记一次大型且细小的域渗透实战

gclome

原文链接：记一次大型且细小的域渗透实战

0x01 前提与准备：
A.前言

---

我是后面接手这个域环境，而前面的dalao已经到域控的部分了，我因为写文章的原因，所以需要从原地出发，学习一下dalao是如何打到域控的
B.声明：

---

1. 本文顺序可能有点杂乱，需要耐心阅读，并且打码的地方有打得不好请见谅 -.-（得细心看）
2. 本次渗透因为是实战的原由，没有使用DACL委派方法进行攻击（因为添加/修改计算机账户[Machine Account]或用户[Domain Users]我实属不敢弄，感觉动静大），不过本文也会在相应位置写出对应的攻击方法
3. 实战过程所植入的Beacon掉了几次，所以图中有些地方的进程号(PID/PPID)可能会有对不上的地方，请大家原谅
4.本文涉及敏感信息的部分统一使用别名，例如：child.xiaoli，IP Address部分直接忽略打码的格子即可
**5.打码的原因全部基于实战，没有在本地复现,所以请各位见谅 **
C.已知信息：

1. 1. 已经通过外层的植入上线了 CobaltStrike
   
2. 2. 目标环境存在杀毒，但是对我们的操作并没任何影响
   
3. 3. 存在多域信任信息，当前属于子域（Child Domain）
   
4. 4. 环境并非英语，一些时间需要进行翻译

复制代码

D.环境与工具的准备：

1. 1. A Kali machine
   
2. 2. CobaltStrike
   
3. 3. Bloodhound 4.0（11月更新了Bloodhound，一直没机会测试，现在机会来了）
   
4. 4. PowerSploit（停更了挺可惜得，虽然有SeatBelt，但是不太会用）

复制代码

0x02 开始：
1. 信息收集：
（1）目前我在r**a这台主机（接下来r**a=ra），而ra主机上有ra用户，并且已经提权到了system，其中ip为192.168.1.95（忽略下面的主域）
​
图1 当前用户为ra，其完全用户名=m\ra
​
图2 （2） 当前机子所在域的FQDN（完全域名），我们接下来在文中统称为 m.child.xiaoli
​
图3 （3）查看域控制器
可能不是英文的原因，CobaltStrike的net domain_controller没用了
​
图4 因此我们直接net group /domain查看域控即可，域控为po.m.child.xiaoli
​
图5 （4）枚举Enterprise Admins
这里我们要做笔记，在子域环境里面，域管理员有两种，一种是Domain Admins，另外一种是Enterprise Admins，我们net group /domain 看不到任何有关Enterprise Admins的信息，但是不慌，我们上powersploit神器
注意：由于不同语言，该域的Enterprise Admins组名 = A\***s组，文中直接称作AS组（这个组名是我翻译后得知的）*
首先我们使用net group常规查询→失败
​
图6 导入powersploit，使用模块Get-DomainForeignUsers（枚举域内所有用户，并且返回同时拥有其他域组的用户），我们得知m.child.xiaoli的域用户PO同时处于child.xiaoli的AS组（Enterprise Admins）（这里打码不太行，耐心点看:）
​
图7 （5）因为是个极大域，我们同时直接上神器BloodHound帮我们分析
Execute SharpHound Collector：
​
图8 Download BloodHound File：
​
图9 （6）查看域信任（Domain Trusts）信息，可以看到是多域结构（这个图就将就点看吧，还是能看懂的）
​
图10 为了方便理解，我使用BloodHound的Domain Trusts图方便大家理解

1. 1. 其中child.xiaoli为根域（Root Domain），m.child.xiaoli为子域（Child Domain）
   
2.    2. 因为本机当前在m.child.xiaoli，所以显示Native
   
3.    3. 接着o/c/t/e/T.m.child.xiaoli为m.child.xiaoli的子域
   
4.    4. o/c/t/e/T.m.child.xiaoli之间没有信任关系
   
5.    5. NxiaoliE.child.xiaoli为child.xiaoli的第二个子域，和m.child.xiaoli之间没有信任关系

复制代码

​

图11 2.开始进攻
（注意，下文的PGO用户/计算机并非是PO用户/计算机）

1. 目前已知信息有：
   
2.    当前用户：m.child.xiaoli\ra
   
3.    我们处在子域：m.child.xiaoli
   
4.    子域域控：po.m.child.xiaoli
   
5.    主域：child.xiaoli
   
6.    主域域控（根域）：未知（还没收集，不着急）
   
7.    Enterprise Admins组名：AS
   
8.    已知Enterprise Admins用户：m.child.xiaoli\PO（不要和下文的PGO用户混淆）
   
9.    Domain Admins：交给Bloodhound分析，不着急

复制代码

（1）目标分析

我们的目标已经很明确了，目标为域控：【po.m.child.xiaoli】，因此，我们直接在BloodHound分析一波最短路径到域控，首先起始点为用户ra，接着终点为域控【po.m.child.xiaoli】
​
图12 BloodHound结果分析：从上图我们能看到，最短路径的分析，首先用户ra（我们当前的用户）是一个名为SN组的成员，而这个组又是计算机PGO的管理员，接着主机PGO上面有一个名为PGO用户的session（进程），接着这个用户是域控的管理员=PGO → Domain Admins，但不是Enterprise Admins，因为刚刚的枚举没看到用户PGO
（2）横向移动
首先我们使用名为【LM】的SMB Beacon横向到主机PGO.m.child.xiaoli，因为ra用户同时是PGO主机的管理员，所有同时获取到system32权限的beacon
​
图13 横向过去之后，我们使用名为【Priv_Esc】的TCP Beacon注入一个pgo用户进程，这里选择了PID为1632的explorer进程
​
图14 ​
图15 因为pgo用户是域控的管理员，此时我们能利用pgo用户去访问域控po.m.child.xiaoli了
​
图16 用pgo用户横向到域控po.m.child.xiaoli，并且可以获得管理员权限的beacon
​
图17 Cobalt Strike 横向图
​
图18 （3）域信任攻击
此时已经到子域域控了，并且拥有该机子的system32权限，你可以选择往上去到根域，还是往下探索m.child.xiaoli的子域

1. A. 想往上去到根域的，请接着阅读（3-1和3-2）
   
2.    B. 若你是想往下探索该子域的子域的，请跳到（3-3）

复制代码

（3-1）From DA to EA：攻击到根域child.xiaoli（不讲武德）

我们在子域域控收集根域的域控信息，这里使用powersploit的模块Get-ADDomainController，此时我们看到根域域控为：cl.child.xiaoli，并且ip为192.168.1.241（图中的Hostname+IPv4Address）
​
图19
笔记：
   Enterprise Controller：cl.child.xiaoli
   Enterprise Controller IP Address：192.168.1.241

我们同时看看pgo除了是Domain Admins组的用户，还是什么组的用户
​
图20 可以看到，pgo用户还是Administrators组的用户，根据微软官方所述的话，个人理解该组用户权限比Domain Admins权限还高，并且拥有两条主要DCSync Attack所需要的Privilege：GetChangesALL和GetChanges，我们可以制定一些比较【不讲武德】的攻击方案

1. 第一种：我们可以直接获取在域控注入一个po用户进程，使用该用户进程去访问根域child.xiaoli（小提醒：上文提到PO为Enterprise Admins组用户）
   
2.    第二种：如果没有po用户进程，我们可以在m.child.xiaoli进行dcsync攻击，然后使用make_token调用m.child.xiaoli\po用户的Credentials（凭据），接着去访问根域child.xiaoli
   
3.    第三种：我们使用Administrators组的权限去欺负域，太DD了，因此我们可以不使用Administrators组带来的权限，而使用WriteDacl自己给自己赋予DCSync权限
   
4.    第四种：域控自己本身就有GetChangesALL和GetChanges权限，我们可以提权到system，使用机器账户去进行DCSync攻击
   
5.    第五种：使用SID-History攻击（讲武德）

复制代码

流程图：

​
图21 （3-1-1）第一种攻击：略（极度不讲武德）
（3-1-2）第二种攻击：如下图所示，直接dcsync（同样不讲武德）
​
图22 （3-1-3）第三种攻击（有点不讲武德），相对于第二种多了一步，我们看看Bloodhound分析
​
图23 实际上相当于PGO在域内拥有WriteDacl权限，那我们两句命令就能实现dcsync

1. ##添加DCSync权限，并且使用mimikatz导出全部hash
   
2.    Add-DomainObjectAcl -TargetIdentity child.xiaoli -Rights DCSync
   
3.    lsadump::dcsync /domain:child.xiaoli /all /csv
   
4.    ##删除权限，防止管理员发现
   
5.    Remove-DomainObjectAcl -TargetIdentity child.xiaoli -Rights DCSync

复制代码

（3-1-4）这个也没什么好讲的，域控本身就有那俩权限（极度不讲武德）

（3-1-5）使用SID-History攻击到根域child.xiaoli（讲武德）
实现这个攻击，需要五个条件（实际上就是比普通的黄金票据多了一个sids条件）而金票需要四个，我们需要获取根域child.xiaoli的Enterprise Admins组的ObjectID（SID+RID）
这里我们使用Conver-NameToSid获取child.xiaoli\krbtgt用户的ObjectID
​
图24 获取到krbtgt的Object ID后，我们要修改其RID，502修改为519，SID为519的ObjectID=Enterprise Admins组的Object ID
这里伪造的用户就有点讲究了，用户名不能随便取，我用上面收集到的用户PO登录失败了，即使m.child.xiaoli\PO是处于Enterprise Admins组
为此，我又一次请教了Bloodhound，看到Enterprise Admins组里有个child.xiaoli\Administrator用户，因此我们伪造的用户名填写administrator（Administrator是我翻译之后的结果，未翻译前并非叫Administrator）

1.    mimikatz kerberos::golden /user:administrator /domain:m.child.xiaoli /sid:【m.child.xiaoli的sid】 /krbtgt:xxxxxxxxxxxxxxxx /sids:【Enterprise Admins组的Object ID】 /startoffset:0 /endin:600 /renewmax:10080 /ptt

复制代码

（图片我直接马赛克了关键部分，但是能看到Extra SIDs最后的RID为519就没错了）

​
图25 这边我在m.child.xiaoli的域控上随便注入了个普通用户进程上测试，并且目标为nl.child.xiaoli，是根域的一台机子
注入票据前：(即使打码也掩盖不住报错的气质)
​
图26 注入票据后：
​
图27 这时有个疑问了，为什么我们的登录域还是M.child.xiaoli，却说成Enterprise Admins？别急，我们remote-exec看看我们的这个用户的组
​
图28 不难看到，M\Administrator确实处于Child\AS组，也就是child.xiaoli的Enterprise Admins组（后面的RID为证据）
（PS:我个人实操过，对根域域控确实具有完全控制权）
（3-2）Form DA to child DA：Child to child（从子域到子域的子域）
为了方便理解，我把子域的子域称为SUB-Child
很多时候，SUB-Child的东西也挺多的，从上文Domain Trusts分析，我们看到m.child.xiaoli还有子域o/c/t/e/T.m.child.xiaoli，在接下来的实验中，我们使用o.m.child.xiaoli作为我们的目标，我们从m.child.xiaoli向下移动，因此我们大约有三种攻击方案

1. 第一种：从子域m.child.xiaoli到根域child.xiaoli后，然后从根域child.xiaoli使用Enterprise Admins组的用户到o.m.child.xiaoli（不讲武德）
   
2.    第二种：使用SID-History Attack，从子域m.child.xiaoli到子域o.m.child.xiaoli

复制代码

（图片我直接马赛克了关键部分，但是能看到Extra SIDs最后的RID为519就没错了）

​

图25
这边我在m.child.xiaoli的域控上随便注入了个普通用户进程上测试，并且目标为nl.child.xiaoli，是根域的一台机子
注入票据前：(即使打码也掩盖不住报错的气质)
​
图26
注入票据后：
​
图27
这时有个疑问了，为什么我们的登录域还是M.child.xiaoli，却说成Enterprise Admins？别急，我们remote-exec看看我们的这个用户的组
​
图28
不难看到，M\Administrator确实处于Child\AS组，也就是child.xiaoli的Enterprise Admins组（后面的RID为证据）
（PS:我个人实操过，对根域域控确实具有完全控制权）
（3-2）Form DA to child DA：Child to child（从子域到子域的子域）
为了方便理解，我把子域的子域称为SUB-Child
很多时候，SUB-Child的东西也挺多的，从上文Domain Trusts分析，我们看到m.child.xiaoli还有子域o/c/t/e/T.m.child.xiaoli，在接下来的实验中，我们使用o.m.child.xiaoli作为我们的目标，我们从m.child.xiaoli向下移动，因此我们大约有三种攻击方案

1. 域控制器：lo.o.m.child.xiaoli
   
2.    该域管理员：Administrator
   
3.    域控sid：SXXXXXXXXXXXXXXXXXXX
   
4.    该域的Domain Admins组的ObjectID（SID+RID）：SID+512=SXXXXXXXXXXXXXXXXXXX-512（RID为512为Domain Admins组）

复制代码

接着我们使用SID-History攻击

1.    mimikatz kerberos::golden /user:Administrator /domain:m.child.xiaoli /sid:（m.child.xiaoli域的sid） /krbtgt:KRBTGT_HASH /sids:（域lo.o.m.child.xiaoli的Domain Admins ObjectID） /startoffset:0 /endin:600 /renewmax:10080 /ptt

复制代码

​

图34 接着就可以访问子域域控lo.o.m.child.xiaoli了
​
图35 我们看看用户组，确实处于o.m.child.xiaoli\Domain Admins，即使用户登录域是m.child.xiaoli
​
图36 3.二次进攻
主要是观察DCAL和ACE，但是我写的时候已经太累了，就不想写，而且我怕修改了密码之类的操作被发现，虽然密码改了可以用mimikatz改回去，但是本文就这样吧（不敢作死搞大动静）

0x02 结尾总结一下本文涉及的知识点：
1.Cobalt Strike 使用2.横向移动3.信息收集：Bloodhound4.信息收集：PowerSploit5.信息收集：Cobalt Strike6.DCSync 攻击7.DCSync：WriteDacl8.域信任攻击：DA to EA9.域信任攻击：DA to another DA
同时这个域控不止这么少玩法，但是是实战的原因，我不敢搞太多，结尾给大家上一张BloodHound的图看看
到主域（child.xiaoli）Domain Admins的路径：
​
图37 到域m.child.xiaoli的Domain Admins路径：
​
图38