个人网站论文摘要,特色设计网站推荐,演出公司网站建设,网站搜索页面怎么做windows权限维持—黄金白银票据隐藏用户远控RustDeskGotoHttp 1. 前置1.1. 初始问题1.1.1. 解决办法 2. 隐藏用户2.1. 工具原理2.2. 案例操作2.2.1. 单机添加用户2.2.1.1. 工具添加用户2.2.1.2. 工具查看隐藏用户2.2.1.3. 本地查看隐藏用户 2.2.2. 域内添加… windows权限维持—黄金白银票据隐藏用户远控RustDeskGotoHttp 1. 前置1.1. 初始问题1.1.1. 解决办法 2. 隐藏用户2.1. 工具原理2.2. 案例操作2.2.1. 单机添加用户2.2.1.1. 工具添加用户2.2.1.2. 工具查看隐藏用户2.2.1.3. 本地查看隐藏用户 2.2.2. 域内添加用户2.2.2.1. 工具添加用户2.2.2.2. 工具查看隐藏用户2.2.2.3. 本地查看隐藏用户 2.3. 总结 3. 远控软件3.1. GotoHTTP3.1.1. 运行软件3.1.2. 远控读取文件3.1.3. 远控桌面3.1.4. 总结 3.2. RustDesk3.2.1. 远程版RustDesk3.2.1.1. 运行软件3.2.1.2. 读取远控文件3.2.1.3. 远控桌面 3.2.2. 本地版RustDesk3.2.2.1. 配置软件3.2.2.2. 远程桌面 3.2.3. 总结 4. 基于服务TGT—黄金白银票据4.1. 黄金票据4.1.1. 操作演示4.1.1.1. 获取域名与SID4.1.1.2. 获取KRBTGT账户NTLM4.1.1.3. 伪造用户名4.1.1.4. 导入内存 4.1.2. 总结 4.2. 白银票据4.2.1. 操作演示4.2.1.1. 获取域名与SID4.2.1.2. 获取DC账户NTLM4.2.1.3. 伪造用户名 4.2.2. 总结 4.3. 总结 1. 前置 在上篇权限维持中有一个知识点出现了错误基于机制账号启动—DSRM里面的用户应该使用的是用户是krbtgt账号不应该随便使用一个用户当时测试的时候是由于在域用户内找了很久都没找到这个用户今天在测试的时候使用查找是找到了这个用户但是最关键的问题就是在域内用户列表中依旧是找不到的虽然被停用但应该也不至于找不到吧。 注意基于机制账号启动—DSRM要使用krbtgt账号来测试由于krbtgt是密钥分发中心的账号通常也不会有人去管理这个用户而且将DSRM的密码同步过来后就可以使用krbtgt账号来进行登陆。
1.1. 初始问题 一开始的问题就是重置这里出现了问题我查阅了网上一大堆文章每篇文章就截了个图或者直接说这里启用就可以了你写你*文章啊给鬼看的啊。 其实这个原因就是krbtgt这个用户被禁用了同时你直接在ad用户与计算机中还找不到这个用户使用查找找到了还不能修改提示本地账户无权限。 1.1.1. 解决办法 这里去在AD管理中心能够找到这个用户不过依旧启用不了但是将密码修改为永不过期就能够解决这个问题了。 2. 隐藏用户 隐藏用户是在日常留后门中最常用的一种操作可以将用户隐藏起来来实现不被察觉。这里默认情况使用命令添加的隐藏用户是能够被查询到的并且删除的但是使用工具添加的隐藏用户就算被查询到但是是无法被删除的。 CreateHiddenAccount
2.1. 工具原理 其实这个工具的原理就是在创建用户的时候添加$符号并且将该用户的用户组设定为空不过在单域环境中用户组是空域环境中用户组是administrator组导致无法删除。
2.2. 案例操作 这里就简单的将工具上传至目标靶机上进行执行但是目前这个工具不免杀了基本上就是下载就是被杀。 这里我们测试单机情况与域情况。
2.2.1. 单机添加用户 这里我们测试单机添加与查询。
2.2.1.1. 工具添加用户
CreateHiddenAccount_upx_v0.2.exe -u yaya -p admin123 ##添加用户2.2.1.2. 工具查看隐藏用户 这里是使用这个工具自带的查询来进行查询隐藏用户。
CreateHiddenAccount_upx_v0.2.exe -c2.2.1.3. 本地查看隐藏用户 可以看到从本地确实也能够看到隐藏用户但是你会发现是无法删除这个用户的其实这个就是由于之前说的在单机版中用户的用户组什么都没添加所以导致无权进行删除。 2.2.2. 域内添加用户 这里查询域内添加与查询。
2.2.2.1. 工具添加用户
CreateHiddenAccount_upx_v0.2.exe -u yaya -p admin1232.2.2.2. 工具查看隐藏用户
CreateHiddenAccount_upx_v0.2.exe -c2.2.2.3. 本地查看隐藏用户 可以看到这里是可以删除的而单机版中是直接点击删除就提示禁止删除。 2.3. 总结 总的来说隐藏用户目前的手段基本上服务器出现问题第一件事都是查询隐藏用户所以这个算是后门的一种方式但是现在再来看已经不是那么好用了。
3. 远控软件 远控软件都不陌生比如向日葵、todesk等都是远控软件这类远控软件都不会被杀毒软件杀这是由于这些产品都属于远程办公类软件杀毒软件厂家基本上都把这些软件都列入白名单中的所以各种操作都会被杀毒软件检测。 而且原先向日葵是存有那种便携版的不需要安装即可使用但是后续版本高同时RCE漏洞导致向日葵现在都需要进行安装而你去建立后面直接使用向日葵的话你需要安装同时目标风险很大所以在实际过程中尽量使用一些小而轻巧的软件来实现远程控制从而达到权限维持。 不过也还是那句话如果服务器经常有人巡检像这类工具你上传基本上就会被查到太明显了。
3.1. GotoHTTP GotoHTTP Windows版本是绿色软件点击右边链接下载软件包文件大小仅数百K只有一个文件在软件包中将其解压到你电脑的某个位置并双击运行它, 将会自动连接到服务器并显示这台电脑的ID及控制码。
GotoHTTP
3.1.1. 运行软件 Windows7运行后会弹出这个弹窗可能在命令行上操作会比较麻烦同时Windows7有那么意味着可能Windows server 2008这些老版的服务器都会出现不过在Windows10上操作是没问题的。 3.1.2. 远控读取文件 你运行完会发现在该软件目录下会创建一个配置文件届时你使用CS去读取一下这个配置文件就可以了这个配置文件中会存在账户密码的。 3.1.3. 远控桌面 登陆下面的网站在网站上面会有一个输入账号密码的地方这里输入上去就可以了无需下载上面客户端服务端的现在还要收费了尴尬… 远程桌面 3.1.4. 总结 这个工具存在一个问题就是有网络的情况下才能够使用而在无网络的情况下是无法使用的同时流量是走https协议需要目标主机开放443端口。 简单来说就是 有网络无限制可以使用。 有网络如果防火墙限制了443端口无法使用。 无网络无限制可以使用但是可能需要转发比较麻烦。 无网络有限制基本上就是无法使用。 同时如果目标主机处于待机状态如果被唤醒是会被防火墙拦截的。
3.2. RustDesk 远程桌面软件开箱即用无需任何配置。您完全掌控数据不用担心安全问题。 RustDesk
3.2.1. 远程版RustDesk 这里的远控版意思就是可以从网络上进行连接简单来说就是有网络情况下使用。
3.2.1.1. 运行软件 这个工具默认打开是英文的不过是可以在设置中修改为中文的。 3.2.1.2. 读取远控文件 这个工具的账号密码文件在C:\Users\用户名\AppData\Roaming\RustDesk\config\RustDesk.toml下不过很可惜新版的这个工具可能无法读取文件了老版是还有的。 3.2.1.3. 远控桌面 这里可以看到是成功连接上对方的桌面了但这里由于我是虚拟机比较卡所以画面传输的比较慢。 3.2.2. 本地版RustDesk 本地版的意思就是无需网络只要两个软件在同一个局域网内都可以进行连接。
3.2.2.1. 配置软件 同样这里先去读取一下文件C:\Users\用户名\AppData\Roaming\RustDesk\config\RustDesk2.toml添加下列内容。
direct-server Y ##开启IP连接
direct-access-port 8443 ##端口 3.2.2.2. 远程桌面 这里我们是使用域内环境其实也就是不出网情况这里可以看到直接在输入对方的ID位置输入IP加端口即可。
IP:8443 ##8443是你再配置文件中修改的端口地址。3.2.3. 总结 总体来说这个工具要比GotoHTTP要方便很多最主要的功能就是能够脱离网络实现连接同时可以绕过有杀软的环境。
4. 基于服务TGT—黄金白银票据 Kerberos协议是Windows域内认证常用的协议整体的认证流程也就是黄金票据与白银票据的攻击场景。整体的流程较为复杂理解起来也不是看完就能了解的。 参考文章 注意黄金票据与白银票据归属在权限维持阶段而不是横向移动阶段。
4.1. 黄金票据 黄金票据原理就是通过伪造krbtgt用户的TGT票据krbtgt用户是域控中用来管理发放票据的用户拥有了该用户的权限就可以伪造系统中的任意用户同时可以访问目标主机中任何服务。 在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了黄金票据后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。 利用条件获取域控的权限、krbtgt用户的hash值。
4.1.1. 操作演示 这里我就不在CS中去操作了直接实际操作如果出现一些无法在CS中完成的我会进行说明。
4.1.1.1. 获取域名与SID 注意这里的SID最后面的4位是不需要的。
whoami ##获取本地账户
net time /domain ##获取域名
whoami /all ##获取sidS-1-5-21-1695257952-3088263962-20552354434.1.1.2. 获取KRBTGT账户NTLM 这里需要使用mimikatz来进行获取。
privilege::debug
lsadump::lsa /patch /user:krbtgt ##558ae7f88589153355cbeb046ac696df4.1.1.3. 伪造用户名 这里的用户名随便伪造一个我这里伪造成yuto吧。
mimikatz kerberos::golden /user:yuto /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /krbtgt:558ae7f88589153355cbeb046ac696df /ticket:pj4.1.1.4. 导入内存 可以看到这里找一台域内主机将这个票据导入后就能够服务域控了。
kerberos::ptt pj4.1.2. 总结 黄金票据为什么说是黄金票据由于该票据是不受TGT生命周期限制的默认情况下TGT票据默认是10小时、最多续订7天而且这个票据可以一直保存只要KRBTGT账户的密码不被修改则该票据可以一直访问同时利用上也简单。 不过黄金票据也属于二次攻击第一次是为了拿到域控权限而去进行操作而第二次攻击则是为了再次获取权限来进行的操作同时黄金票据不单单可以生成krbtgt用户的TGT票据还可以生成其他用户的只不过由于krbtgt用户的密码通常很少会去修改所以间接性保证了票据的稳定性如果是其他用户可能几天改一次就导致票据失效。
4.2. 白银票据 黄金票据伪造的是TGT也就是门票发门票而白银票据则是伪造ST也就是门票白银票据的好处是不会经过KDC从而更加的隐蔽但是缺点也很明显那就是只对部分服务起作用例如cifs文件共享服务、mssql、winrmWindows远程管理、DNS等。 利用条件拿到目标机器的hash也就是登陆的hash值这里不一定是DC的但是我们权限维持尽量还是去拿DC的权限。
4.2.1. 操作演示 同样这里也是不使用CS来操作直接在机器上操作CS中是一样的。
4.2.1.1. 获取域名与SID 这里和黄金票据是一样的就不演示了。
whoami
net time /domain
whoami /all4.2.1.2. 获取DC账户NTLM 这里要注意是机器名不要是administrator的账户。
privilege::debug
sekurlsa::logonpasswords ##f0ff7995e6d3396e869a01e6b465eeaa4.2.1.3. 伪造用户名 这里的用户名随便伪造一个我这里伪造成yuto吧。
domain域名sid域环境下的SID除去最后-的部分剩下的内容target要访问的服务器写FQDNrc4写的是目标主机的NTLM主机名$对应NTLMservice要访问的资源类型user伪造的用户cifs共享文件 其实这里可以看到导入后确实有票据了但是利用确实比较麻烦的这里是将目标服务定位cifs也就是说只有当目标主机上有cifs服务的时候才能进行利用。
kerberos::golden /user:yuto /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /target:DC /service:cifs /rc4:f0ff7995e6d3396e869a01e6b465eeaa /pttkerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash /ptt4.2.2. 总结 白银票据可利用的局限性太多了。
4.3. 总结 关于黄金票据与白银票据的简要总结。 黄金票据是抓取域控中ktbtgt账号的hash来在client端生成一个TGT票据那么该票据是针对所有机器的所有服务。 白银票据实际就是在抓取到了域控服务hash的情况下在client端以一个普通域用户的身份生成TGS票据并且是针对于某个机器上的某个服务的生成的白银票据,只能访问指定的target机器中指定的服务。 文章转载自: http://www.morning.jzykq.cn.gov.cn.jzykq.cn http://www.morning.fjtnh.cn.gov.cn.fjtnh.cn http://www.morning.cnqwn.cn.gov.cn.cnqwn.cn http://www.morning.lpyjq.cn.gov.cn.lpyjq.cn http://www.morning.srxhd.cn.gov.cn.srxhd.cn http://www.morning.dhyzr.cn.gov.cn.dhyzr.cn http://www.morning.sgpny.cn.gov.cn.sgpny.cn http://www.morning.ysmw.cn.gov.cn.ysmw.cn http://www.morning.wnjbn.cn.gov.cn.wnjbn.cn http://www.morning.zybdj.cn.gov.cn.zybdj.cn http://www.morning.cjmmn.cn.gov.cn.cjmmn.cn http://www.morning.plchy.cn.gov.cn.plchy.cn http://www.morning.kfbth.cn.gov.cn.kfbth.cn http://www.morning.lsfbb.cn.gov.cn.lsfbb.cn http://www.morning.ldcrh.cn.gov.cn.ldcrh.cn http://www.morning.myzfz.com.gov.cn.myzfz.com http://www.morning.rwlnk.cn.gov.cn.rwlnk.cn http://www.morning.mwkwg.cn.gov.cn.mwkwg.cn http://www.morning.lgphx.cn.gov.cn.lgphx.cn http://www.morning.bkkgt.cn.gov.cn.bkkgt.cn http://www.morning.plqqp.cn.gov.cn.plqqp.cn http://www.morning.gbsby.cn.gov.cn.gbsby.cn http://www.morning.gmztd.cn.gov.cn.gmztd.cn http://www.morning.twpq.cn.gov.cn.twpq.cn http://www.morning.jpwmk.cn.gov.cn.jpwmk.cn http://www.morning.ftntr.cn.gov.cn.ftntr.cn http://www.morning.ykrck.cn.gov.cn.ykrck.cn http://www.morning.pwmm.cn.gov.cn.pwmm.cn http://www.morning.whnps.cn.gov.cn.whnps.cn http://www.morning.htjwz.cn.gov.cn.htjwz.cn http://www.morning.guangda11.cn.gov.cn.guangda11.cn http://www.morning.kyjpg.cn.gov.cn.kyjpg.cn http://www.morning.rbylq.cn.gov.cn.rbylq.cn http://www.morning.jljiangyan.com.gov.cn.jljiangyan.com http://www.morning.qgjxy.cn.gov.cn.qgjxy.cn http://www.morning.deupp.com.gov.cn.deupp.com http://www.morning.taojava.cn.gov.cn.taojava.cn http://www.morning.ahlart.com.gov.cn.ahlart.com http://www.morning.kzbpx.cn.gov.cn.kzbpx.cn http://www.morning.jzkqg.cn.gov.cn.jzkqg.cn http://www.morning.rnhh.cn.gov.cn.rnhh.cn http://www.morning.dysgr.cn.gov.cn.dysgr.cn http://www.morning.mnjwj.cn.gov.cn.mnjwj.cn http://www.morning.qyfrd.cn.gov.cn.qyfrd.cn http://www.morning.dbcw.cn.gov.cn.dbcw.cn http://www.morning.rqwwm.cn.gov.cn.rqwwm.cn http://www.morning.ampingdu.com.gov.cn.ampingdu.com http://www.morning.ywqw.cn.gov.cn.ywqw.cn http://www.morning.prhqn.cn.gov.cn.prhqn.cn http://www.morning.xlztn.cn.gov.cn.xlztn.cn http://www.morning.qyfqx.cn.gov.cn.qyfqx.cn http://www.morning.gmysq.cn.gov.cn.gmysq.cn http://www.morning.zrbpx.cn.gov.cn.zrbpx.cn http://www.morning.cctgww.cn.gov.cn.cctgww.cn http://www.morning.mdrnn.cn.gov.cn.mdrnn.cn http://www.morning.gbwfx.cn.gov.cn.gbwfx.cn http://www.morning.lbbrw.cn.gov.cn.lbbrw.cn http://www.morning.kfyjh.cn.gov.cn.kfyjh.cn http://www.morning.wgtnz.cn.gov.cn.wgtnz.cn http://www.morning.stprd.cn.gov.cn.stprd.cn http://www.morning.mkydt.cn.gov.cn.mkydt.cn http://www.morning.rcrnw.cn.gov.cn.rcrnw.cn http://www.morning.xgjhy.cn.gov.cn.xgjhy.cn http://www.morning.wsyst.cn.gov.cn.wsyst.cn http://www.morning.kfysh.com.gov.cn.kfysh.com http://www.morning.dwmtk.cn.gov.cn.dwmtk.cn http://www.morning.dsgdt.cn.gov.cn.dsgdt.cn http://www.morning.kghss.cn.gov.cn.kghss.cn http://www.morning.qbwmz.cn.gov.cn.qbwmz.cn http://www.morning.ltpph.cn.gov.cn.ltpph.cn http://www.morning.slkqd.cn.gov.cn.slkqd.cn http://www.morning.xqnzn.cn.gov.cn.xqnzn.cn http://www.morning.hxpff.cn.gov.cn.hxpff.cn http://www.morning.bqmsm.cn.gov.cn.bqmsm.cn http://www.morning.qqbw.cn.gov.cn.qqbw.cn http://www.morning.btypn.cn.gov.cn.btypn.cn http://www.morning.bsrp.cn.gov.cn.bsrp.cn http://www.morning.tlpgp.cn.gov.cn.tlpgp.cn http://www.morning.bswxt.cn.gov.cn.bswxt.cn http://www.morning.zxfdq.cn.gov.cn.zxfdq.cn
