热门关键字:   网站安全  黑客攻防  安全漏洞  系统安全  网络安全

域渗透的金之钥匙

发布时间:2015-10-23 14:49文章来源:wooyun文章作者:Via 点击次数:
摘要:0x00 废话连篇 最近几年很少搞内网渗透了,这几年发展的快啊,看了A牛翻译的 Fireeye Mandiant 2014 安全报告 Part1 ,发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的,找朋友要些vbscript脚本自动化,然后那啥那啥的。现在搞域除了前...

 

0x00 废话连篇

最近几年很少搞内网渗透了,这几年发展的快啊,看了A牛翻译的<<Fireeye Mandiant 2014 安全报告 Part1>> ,发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的,找朋友要些vbscript脚本自动化,然后那啥那啥的。现在搞域除了前段时间出的MS14068,还有龙哥翻译的(http://drops.wooyun.org/papers/576),不知道还有什么新方法,心中还有激情,如果想交流的朋友,可以加我聊聊。

0x01 金之钥匙

我原来发过一个微博说

 

这就是我说的金之钥匙,利用这个的条件是你在原来搞定域控的时候,已经导出过域用户的HASH,尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候,活儿不细,被人家发现了,你拥有的域管理员权限掉了,你现在还有一个普通的域用户权限,管理员做加固的时候 又忘记修改krbtgt密码了(很常见),我们还是能重新回来,步骤如下:

要重新拿回域管理员权限,首先要先知道域内的管理员有谁

我这里的实验环境,通过截图可以看到域管理员是administrator

我还要知道域SID是啥

我的域SID是

还有最重要的krbtgt用户的ntlm哈希,我原来导出的是

 

然后该用神器mimikatz出场了,依次执行

到现在,我们又重新拥有域管理员权限了,可以验证下

 

 

标签分类:

上一篇:利用系统自带的ntsd实现端口转发,本地获取shell
下一篇:巧用DSRM密码同步将域控权限持久化