0x01 金票
可以使用krbtgt的NTLM hash创建作为任何用户的有效TGT。要伪造黄金票据的前提是知道域的SID和krbtgt账户的hash或者AES-256值。
1.1 收集krbtgt密码信息
得到krbtgt的hash:
域sid值:
1.2 金票利用
使用mimikatz伪造kerberos票证
生成gold.kribi
可以看到没有任何票证。
导入gold.kribi
成功导入administrator票据。
可以通过事件管理器查看到是以administrator来登录的
0x02 银票
如果我们拥有服务的hash,就可以给自己签发任意用户的TGS票据。金票是伪造TGT可用于访问任何Kerberos服务,而银票是伪造TGS,仅限于访问针对特定服务器的任何服务。
这里使用CIFS服务,该服务是windows机器之间的文件共享。
2.1 获取sid
2.2 导出服务账号的NTLM Hash
2.3 创建银票
psexec获取DC机器cmd
0x03 AdminSDHolder组
AdminSDHolder是一个特殊的AD容器,具有一些默认安全权限,用作受保护AD账户和组的模板,当我们获取到域控权限,就可以通过授予该用户对容器进行滥用,使该用户成为域管。
默认情况下,该组的 ACL 被复制到所有“受保护组”中。这样做是为了避免有意或无意地更改这些关键组。但是,如果攻击者修改了AdminSDHolder组的 ACL,例如授予普通用户完全权限,则该用户将拥有受保护组内所有组的完全权限(在一小时内)。如果有人试图在一小时或更短的时间内从域管理员中删除此用户(例如),该用户将回到组中。
其中Administrators、Domain Admins、Enterprise Admins组对AdminSDHolder上的属性具有写权限,受保护的ad账户和组的具备admincount属性值为1的特征。
3.1 使用powerview查询
查询ad保护的域的用户
查询域中受ad保护的所有组
3.2 使用ActiveDirectory
查询ad保护的域中所有的用户和组
3.3 添加用户
添加jack用户对其有完全控制权限。
然后验证下,这里的sid为jack用户的。
默认会等待60分钟,可以通过修改注册表来设置为60秒后触发。
3.4 恢复
恢复触发时间
取消jack用户对adminSDHolder的权限
0x04 DSRM凭证
每个DC内都有一个本地管理员账户,在该机器上拥有管理员权限。
4.1 获取本地管理员hash
得到hash为:
4.2 检查是否工作
如果注册表项的值为0或者不存在,需要将其设置为2。
检查key是否存在并且获取值:
如果不存在则创建值为2的键:
如果存在但是不为2设置为2:
4.3 PTH域控
0x05 规避Windows 事件日志记录
在做完一些渗透测试清理痕迹是很有必要的一个环节,包括在一些渗透还未结束也要清理掉一些操作日志。在情报收集反溯源等等多都是采用windows事件日志中。
5.1 查看windows日志
5.1.1 事件管理器
5.1.2 powershell
管理员权限运行查看安全类别的日志:
5.2 windows日志清除方法
5.2.1 wevtutil.exe
统计日志列表数目信息等:
查询指定类别的(这里以security举例):
删除指定类别:
原本量日志信息
但是会留下一个事件id为1102的日志清除日志
5.2.2 powershell清除日志
查看指定事件id:
删除指定类别日志:
5.2.3 Phantom脚本
该脚本可以让日志功能失效,无法记录。他会遍历日志进程的线程堆栈来终止日志服务线程。
添加一个用户可以看到产生了日志
我们再给删除
运行ps1脚本:
再次添加用户查看日志:
标签: