HackTheBox - 学院【CPTS】复习6 - Active Directory

news2024/12/23 9:26:40

ACTIVE DIRECTORY ENUMERATION & ATTACKS

这个模块其实与thm的AD教程相比,还是thm更适合刚开始接触AD以及学习从枚举到持久化的全阶段(红队)。而htb学院这个模块更注重于枚举和各种攻击手段,有点纯渗透的风格,弱化了每个阶段之间的概念,所以这两家平台的AD教程形成一种互补。

当有了thm的AD全部知识,之后再来到这个模块,就会发现两家的AD教程各有各的优点,thm有的知识,htb学院的这个模块不一定也会有,反之亦然。所以我仍然强调的是形成互补之势,而不是哪家的教程更好,盲目比较这两家谁更好,只能说明这个人非常愚蠢。

在这个模块,在我thm原有的知识基础上,进一步加深了我对AD以及Kerberos、ACL、Trust之类的了解,还有PowerView、Rubeus之类的热门工具的使用

我们会发现这个模块部分内容根据linux、windows两大平台进行分别教程(TTP),意在:如果我们立足于linux或者是我们的攻击机kali上,我们能做什么,用什么做;如果我们立足于windows,我们能做什么,用什么做

LLMNR & NBT-NS

当dns发生故障无法正常服务或用户使用了错误的域名访问导致dns查询失败时,会采用LLMNR向链路本地的其他主机进行查询,如果LLMNR失败,则会采用 NBT-NS,这将可能导致获取密码 hash甚至是ntlm中继(非强制smb签名的情况下)

常用的两种工具linux下的responder和windows的Inveigh,Inveigh有powershell版本和C Sharp版本

Kerbrute用户枚举细节

Kerbrute使用Kerberos预身份验证来枚举用户,所以枚举的时候如果有已禁用预身份验证的账户,Kerbrute会直接请求并输出。因此不会生成4625登录失败事件,但会生成4768Kerberos TGT请求事件,这也能够在严格的4625事件监控下逃脱

Internal Password Spraying

在域内的windows主机上可以使用DomainPasswordSpray.ps1和Rubeus,甚至是Kerbrute来进行spray

此外我们还应该关注密码重用的问题,这将能使用明文密码或者hash进行spray

已登录账户

crackmapexec的–loggedon-users参数可以让我查看到有哪些用户已在这台机器登录,我们将可以尝试通过内存提取其凭据

wmiexec & smb/psexec

wmiexec可能会导致频繁出现4688创建新进程事件日志,而smbexec、psexec通过IPC$和ADMIN$,传递文件并通过svcctl创建服务,而这一行为也会被Win Defender检测到

net1 - net

setspn.exe

通过setvpn可以帮助枚举所有具有SPN的账户

setspn -Q */*

受支持的PowerView - Empire

https://github.com/BC-SECURITY/Empire/blob/main/empire/server/data/module_source/situational_awareness/network/powerview.ps1

ACL

在这里插入图片描述

在bloodhound文档当中,也有非常多可滥用的ace type文档,并且描述了如何通过powerview去利用

https://bloodhound.readthedocs.io/en/latest/data-analysis/edges.html

查询指定ACL

Get-DomainObjectACL -ResolveGUIDs -Identity * | ? {$_.SecurityIdentifier -eq $sid}

GenericWrite

powerview:

Set-DomainObject -Identity <obj> -Set @{serviceprincipalname="hacker/M"} -Credential $cred

此外还可以使用targetedKerberoast在linux机器上执行此操作

PowerView查找能够dcsync acl

Get-ObjectAcl "DC=inlanefreight,DC=local" -ResolveGUIDs | ? { ($_.ObjectAceType -match 'Replication-Get')}
如果我们对用户拥有某些权限(例如 WriteDacl),我们还可以将此权限添加到我们控制下的用户,执行 DCSync 攻击,然后删除权限以尝试掩盖我们的踪迹。

设置了可逆加密密码的账户

在这里插入图片描述

当启用的该设置时,会使用RC4进行加密密码,而密钥存储在注册表中

使用PowerView枚举UAC为ENCRYPTED_TEXT_PWD_ALLOWED

Get-DomainUser -Identity * | ? {$_.useraccountcontrol -like '*ENCRYPTED_TEXT_PWD_ALLOWED*'}

Kerberos Double Hop

在这里插入图片描述

这个问题我们可能会遇得到,通过winrm进行远程连接时,只会携带winrm需要的tgs(http,cifs)进行连接,此时想要在目标上访问AD资源时,这将会显示拒绝访问。因为在这种情况下进行tgs请求时,由于它不会携带tgt,因为机器上可能没有,我们连接winrm的时候没有把tgt携带过去,所以后续我们无法通过kdc的tgs请求的tgt验证,所以我们无法访问其他AD服务。

  1. PSCredential,通过powerview的-Credential参数传递凭据以访问服务
  2. 注册新的会话配置
Register-PSSessionConfiguration -Name backupadmsess -RunAsCredential inlanefreight\backupadm
Enter-PSSession -ComputerName DEV01 -Credential INLANEFREIGHT\backupadm -ConfigurationName  backupadmsess

NoPac

创建一个与dc主机名一样的计算机账户,不带$后缀。使用此账户可以欺骗kdc,令其匹配dc的计算机账户,以获得dc访问权限。前提是我们的账户具有创建计算机账户的权限

PASSWD_NOTREQD

设置了此UAC,则该用户将不被密码策略限制,这有可能为弱密码甚至是空密码

Get-DomainUser -UACFilter PASSWD_NOTREQD

GPO枚举

Get-DomainGPO | Get-ObjectAcl | ?{$_.SecurityIdentifier -eq $sid}
Get-GPO -Guid <GPO Guid>

我们可以使用SharpGPOAbuse来帮助利用GPO

Trust

在这里插入图片描述

Get-ADTrust
Get-DomainTrust
Get-DomainTrustMapping

从子域到父域

金票细节

我们知道当域账户登录的机器时,通过sid生成access token,并使用该token确定所具有的权限。而具有SIDHistory也会参与token的生成。

当访问旧域时,sidHistory就会被添加到TGT的PAC的ExtraSids字段中,所以我们最终会具有该sid所具有的权限,这也是金票制作的核心,通过mimikatz直接伪造tgt,同时把PAC里的ExtraSids字段改成EA组的sid,这样我们就得到了一张域间(子域-父域)金票

所以很容易想到制作这张票需要什么:

  1. 子域的sid
  2. EA组的sid
  3. 子域的域名
  4. 任意用户名(可不存在,因为后续请求tgs时都能通过,并且通过sid确认权限)
  5. 子域的krbtgt的hash

mimikatz

kerberos::golden /user:hacker /domain:LOGISTICS.INLANEFREIGHT.LOCAL /sid:S-1-5-21-2806153819-209893948-922872689 /krbtgt:9d765b482771505cbe97411065964d5f /sids:S-1-5-21-3842939050-3880317879-2865463114-519 /ptt

在linux我们可以使用Ticketer.py制作金票

再通过ticketConverter.py将ccache转kirbi

林间双向信任

Get-DomainUser -SPN -Domain FREIGHTLOGISTICS.LOCAL

只要指定一下域

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/761403.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

通过动态IP解决网络数据采集问题

动态地址的作用 说到Python网络爬虫&#xff0c;很多人都会遇到困难。最常见的就是爬取过程中IP地址被屏蔽。虽然大部分都是几个小时内自动解封的&#xff0c;但这对于分秒必争的python网络爬虫来说&#xff0c;是一个关键性的打击&#xff01;当一个爬虫被阻塞时&#xff0c;…

Java内部类笔记

1.为什么使用内部类? 使用内部类最吸引人的原因是&#xff1a;每个内部类都能独立地继承一个&#xff08;接口的&#xff09;实现&#xff0c;所以无论外围类是否已经继承了某个&#xff08;接口的&#xff09;实现&#xff0c; 对于内部类都没有影响 1.1.使用内部类最大的优点…

TCP/IP基础知识笔记

应用层&#xff1a;为用户提供应用功能&#xff0c;比如 HTTP、FTP、Telnet、DNS、SMTP等。 应用层是工作在操作系统中的用户态&#xff0c;传输层及以下则工作在内核态。 传输层&#xff1a;为应用层提供网络支持。 *TCP包含众多特性比如流量控制、超时重传、拥塞控制等因此可…

pytorch深度学习逻辑回归 logistic regression

# logistic regression 二分类 # 导入pytorch 和 torchvision import numpy as np import torch import torchvision from torch.autograd import Variable import torch.nn as nn import torch.nn.functional as F import torch.optim as optim import matplotlib.pyplot as …

(简单)剑指Offer II 056. 二叉搜索树中两个节点的和 Java

方法一&#xff1a;深度优先搜索哈希表 使用深度优先搜索的方式遍历整棵树&#xff0c;用哈希表记录遍历过的节点的值 对于一个值为x的节点&#xff0c;检查哈希表中是否存在k-x即可。如果存在对应的元素&#xff0c;那么我们就可以在该树上找到两个节点的和为k&#xff1b;否…

河流垃圾检测Y8S

【免费】河流垃圾检测Y8M&#xff0c;只需要OPENCV资源-CSDN文库 采用YOLOV8训练&#xff0c;得到PT模型&#xff0c;然后直接转ONNX&#xff0c;使用OPENCV的DNN&#xff0c;不需要其他依赖&#xff0c;支持C/PYTHON

Hadoop 之 分布式集群配置与使用(三)

Hadoop 之 分布式集群 一.集群实例创建二.配置1.创建三个虚拟机&#xff08;Anolis&#xff09;1.修改 HostName2.配置免密登录&#xff0c;配置前 2.配置命名节点1.在 nd1 / nd2 部署 hadoop2.配置 3.查看集群信息 三.测试 一.集群实例创建 以三个 Hadoop 实例创建集群&#…

对战五子棋——网页版

目录 一、项目简介 二、用户模块 1、创建用户实体类 2、编写userMapper接口文件 3、实现userMapper.xml文件 4、对用户密码进行加密 5、实现用户登录功能 6、实现用户注册功能 三、实现用户匹配模块 1、展示用户个人信息 2、匹配请求类 3、匹配响应类 4、创…

郭东白的架构课学习笔笔记(1)

1.架构师的品质 自信和勇气&#xff08;正确的废话&#xff09;拥有战略意图&#xff0c;所谓战略意图&#xff0c;就是拥有与其资源和能力极不相称的雄心壮志。使用演绎法寻找架构原理&#xff0c;而不是归纳法。 2.如何提升自己的架构能力 向身边比自己厉害的优秀架构师或…

【网络安全带你练爬虫-100练】第14练:文件内容的读取、取出

目录 一、目标1&#xff1a;把文件内容遍历取出 二、目标2&#xff1a;把文件内容全部取出 三、网络安全O 一、目标1&#xff1a;把文件内容遍历取出 &#xff08;1&#xff09;如果文件脚本在不同目录 file_path "path/to/your/file.txt" # 替换为你的文件路径…

【Gradle】Gradle之JVM进程详解

个人主页&#xff1a;金鳞踏雨 个人简介&#xff1a;大家好&#xff0c;我是金鳞&#xff0c;一个初出茅庐的Java小白 目前状况&#xff1a;22届普通本科毕业生&#xff0c;几经波折了&#xff0c;现在任职于一家国内大型知名日化公司&#xff0c;从事Java开发工作 我的博客&am…

【机密计算组织】机密计算联盟

一、简介 1.1 机密计算联盟与成员 2019年8月22日&#xff0c;Linux基金会宣布多家巨头企业组建“机密计算联盟”&#xff08;Confidential Computing Consortium&#xff09;&#xff0c;该基金将负责对联盟活动进行监督。机密计算联盟专门针对云服务及硬件生态&#xff0c;致…

SpringBoot中注入ServletFilterListener

1.基本介绍 文档&#xff1a;SpringBoot中注入Servlet&Filter&Listener 考虑到实际开发业务非常复杂和兼容问题&#xff0c;SpringBoot支持将Servlet、Filter、Listener注入spring容器中&#xff0c;成为Spring Bean也就是说&#xff0c;SpringBoot开放了和原生WEB组件…

关于初识MySQL数据库以及MySQL的基本使用

文章目录 什么是数据库什么是MySQL为什么要有数据库 MySQL基本使用连接mysql查看当前服务器对应的数据库创建数据库进入某个数据库建立一张表向表中插入数据查询表中的数据 服务器&#xff0c;数据库&#xff0c;表之间的关系数据逻辑存储MySQL架构SQL语句分类存储引擎 什么是数…

vue-cesium的基本使用【一】

最近的项目中用到了cesium,也了解了一点关于cesium的知识&#xff0c;打点、 标绘、等等基础的功能点&#xff0c;但是在开发过程中使用原生的cesium编写对于初学者还是有点难度&#xff0c;为此&#xff0c;找到关于对cesium进行二次封装的开源项目vue-cesium,本次文章主要记录…

Git原理与基本操作(含安装教程)

Git Git初识Git安装Linux-centosLinux-ubuntu Git基本操作git int配置Git 认识⼯作区、暂存区、版本库添加⽂件--场景⼀git add、git commitgit log 查看.git⽂件git cat-file 添加⽂件--场景⼆修改⽂件git statusgit diff [file]、git diff HEAD -- [file] 版本回退git resetg…

聊一下2023前端状况

2023已过大半&#xff0c;也是疫情后开放的第一年&#xff0c;想必大家都能感受到 各行各业一定程度上都在萎缩&#xff0c;线下一些工厂招聘&#xff0c;喊着90年以前的&#xff0c;可以回家了的 今年出现频率最高的一词就是裁员&#xff0c;失业&#xff0c;大学生慢就业 互联…

【从零开始学习Linux】背景知识与获取环境

哈喽&#xff0c;哈喽&#xff0c;大家好~ 我是你们的老朋友&#xff1a;保护小周ღ 本期给大家带来的是 Linux 操作系统的简介&#xff0c;以及如何获取一个Linux 的环境&#xff0c;作为Linux 章节起始篇&#xff0c;如果不妥之处&#xff0c;欢迎批评指正~ 本期收录于博主…

谷粒商城第二篇服务功能-商品服务-三级分类

商品服务三级分类工程初始化及查询搭建 在数据库中插入数据 1.controller类 RestController RequestMapping("product/category") public class CategoryController {Autowiredprivate CategoryService categoryService;/*** 查出所有分类以及子分类&#xff0c;…

前端Vue自定义可自由滚动新闻栏tabs选项卡标签栏标题栏组件

随着技术的发展&#xff0c;开发的复杂度也越来越高&#xff0c;传统开发方式将一个系统做成了整块应用&#xff0c;经常出现的情况就是一个小小的改动或者一个小功能的增加可能会引起整体逻辑的修改&#xff0c;造成牵一发而动全身。 通过组件化开发&#xff0c;可以有效实现…