超碰超碰

conew_1.jpg
conew_2.jpg
conew_3.jpg
conew_4.jpg
conew_5.jpg
conew_6.jpg

够了够了流出来了高c同学 基于资源的敛迹请托

发布日期:2022-04-26 22:36    点击次数:200

微软试图为域用户提供更大的天真性够了够了流出来了高c同学,使资源的所有这个词者好像树立哪些帐户是确切的,并允许请托给他们。这不错通过修改用于为止策划资源探问的属性" ms-DS-AllowedToActOnBehalfOfOtherIdentity "来完毕的。具体而言,要是狡计机帐户等资源建立了此属性,则允许帐户代表狡计机帐户引申操作。为了好像修改此属性,帐户需要具备该对象的写入权限,而默许情况下该权限是莫得的。然则,要是不错触发 SYSTEM 帐户并将身份考证中继到 Active Directory,则帐户可能会获取请托权限,从而充任普及的用户。

通过基于资源的敛迹请托普及特权并不是一个新话题,Elad Shamir 和 Will Schroeder 畴昔曾对此进行过研究。此挫折向量遵照一系列步骤并依赖于用户作事 ( S4U ) Kerberos 延长,该延长使作事(举例 CIFS)好像代表另一个用户请乞降获取作事票证。通过基于资源的敛迹请托提权的步骤包括以下步骤:

1. 发现狡计机账户配额;

2. 启用 WebClient 作事;

3. 创建狡计机帐户;

4.NTLM 中继;

5. 哈希狡计;

6. 恳求作事票;

7. 票证调遣;

8. 通过 Kerberos 身份考证探问;

下图诠释了基于资源的敛迹请托的步骤:

寻找狡计机账户配额

默许情况下,域中的用户最多不错创建 10 个狡计机帐户。属性" ms-DS-MachineAccountQuota "的值界说了不错创建若干个狡计机帐户。从 Active Directory 的角度来看,这不错通过检察域属性中的属性剪辑器来细察到这少许。

狡计机账户配额

然则,不错通过在红队操作期间查询 Active Directory 对象来检索上述值。 SharpView 相称于用 C# 斥地的 PowerView,因此不错径直从植入标准中使用。引申底下的敕令将陈设所有这个词域对象。

SharpView ——域对象

属性" ms-ds-machineaccountquota "的值将显露在输出中。

SharpView ——狡计机账户配额

另一种步骤是使用 StandIn,它只可查询感酷好酷好的域对象。

StandIn ——狡计机账户配额对象

" ms-ds-machineaccountquota "的值将显露在为止台中。

StandIn ——狡计机账户配额

启用 WebClient 作事

在 Windows 10、Windows 11 等较新版块操作系统中,装配了 web 客户端作事,但默许未启用。作事的景色不错通过在 PowerShell 为止台引申以下操作来获取。

WebClient Service – Status

为了使该时刻奏效,WebDav 作事需要处于运功绩态,因为 WebDav 不协商签名,因此将允许来自刻下狡计机帐户的身份考证中继。圭臬用户莫得权限启用该作事。 James Forshaw 发布了一个主见诠释注解,它通过触发自界说 ETW 事件来惩办此问题,该事件将从圭臬用户的角度启用该作事。

c++ 代码——启用 Web 客户端

将代码编译为可引申文献并在策划主机上运行二进制文献以启用该作事。

启用 WebClient 作事

在敕令辅导符中,不错通过引申以下敕令查询作事:

WebClient 作事

创建狡计机帐户

如上所述,默许情况下域用户最多不错创建 10 个狡计机帐户。要是提供笔据,不错使用各式器具从加入域的系统和未加入域的系统中创建狡计机帐户。 Ruben Boonen 斥地了一个名为 StandIn 的 .NET 活动目次后斥地器具包,不错从植入标准中使用它来引申与基于资源的敛迹请托关连的任务,久久综合网88举例创建狡计机帐户。引申以下敕令将使用就地密码在域上创建一个新的狡计机帐户。

StandIn ——创建狡计机帐户

Impacket 包含一个 python 剧本,它不错从非域加入系统创建狡计机帐户。

Impacket ——添加新狡计机

另外,这个任务也不错通过 PowerShell 来引申,因为Kevin Robertson斥地的 PowerMad 模块包含一个不错创建新狡计机帐户的功能。

Import-Module   .Powermad.psm1 New-MachineAccount   -MachineAccount   Pentestlaboratories   -Domain   purple.lab   -DomainController   dc.purple.lab

PowerMad ——新狡计机帐户

要是系统也曾针对基于资源的敛迹请托进行了树立,则不错使用现存的狡计机帐户,而不是使用上述步骤之一创建新的狡计机帐户。 StandIn 的"请托"标志不错显露所有这个词具有基于资源的受限请托权限的帐户,包括具有不受敛迹和受限请托权限的帐户。

StandIn ——发现为基于资源的受限请托树立的帐户

NTLM 中继

由于也曾创建了一个新的狡计机帐户况兼   Web 客户端作事正在主机上运行,因此下一步是从   Impacket 树立" ntlmrelayx "以进行请托。一朝拿获了来自正当狡计机帐户的身份考证,将被转发到域为止器以通过   LDAP 进行身份考证。由于驱上路份考证将通过   HTTP 接管,因此需要在目次中放弃图像。伪造的狡计机账户" DESKTOP-Pentestlab$ "将成为请托权限的策划。

Ntlmrelayx ——请托探问

为了强制系统帐户通过鸠合进行身份考证,NCC 集团斥地了接受 WebDav 旅途的 Change-Lockscreen。为了使身份考证告捷,需要使用主机名而不是 IP 地址,因为 WebDav 客户端会在 Intranet 区域中自动进行身份考证。需要看重的是,超碰超碰WebClient 作事将使用革新锁屏触发器来启用,况兼不错幸免启用 Web 客户端作事的步骤。

身份考证触发器—— Change-LockScreen

狡计机帐户 ( Hive$ ) 将通过 Kali 实例上的 HTTP 进行身份考证,并将尝试在就地旅途上查找图像。在域为止器上中继身份考证后,特别狡计机帐户 ( DESKTOP-Pentestlab$ ) 将获取对 Hive$ 帐户的请托权限。

ntlmrelayx ——基于资源的敛迹请托

要是使用 rbcd python 剧本提供域笔据,则该挫折也不错从未加入的域系统引申,该剧本可自动引申该经由。

Python 完毕—— rbcd

与具有请托权限的狡计机帐户对应的值将出当今狡计机对象 ( Hive ) 的" msDS-AllowedToActOnBehalfOfOtherIdentify "属性中。

Active Directory ——基于资源的敛迹请托

哈希狡计

从密钥传递中心 ( KDC ) 获取票证的恳求需要密码的哈希示意而不是纯文本值。由于狡计机帐户的密码是已知的,因此不错使用 Rubeus 的"哈希"操作来狡计给定密码的哈希值。

狡计哈希——狡计机账户

恳求作事票证

狡计机帐户" DESKTOP-Pentestlab$ "具有受敛迹的请托权限,因此不错使用 Rubeus 代表看管员帐户恳求通用 Internet 文献系统 ( CIFS ) 的作事票证。这是通过使用用户作事 ( S4U ) Kerberos 延长来完毕的,该延长好像代表用户恳求作事票证。由于将颁发的票证属于看管员帐户,因此可用于通过 Kerberos 进行身份考证,以普及的用户身份探问主机。将为为请托创建的狡计机帐户 ( DESKTOP-Pentestlab$ ) 恳求驱动票证。

TGT 恳求——狡计机账户

使用"用户作事"操作,将向看管员帐户确刻下域为止器的 Kerberos 分发中心 ( KDC ) 恳求票证。

看管员 TGS

终末使用 Kerberos 延长 S4U2proxy 将代表看管员帐户为 CIFS 作事恳求票证。应该看重的是,即使恳求的票证不会被标记为可转发,它仍然不错用于探问作事。

CIFS 作事票证

2020 年 10 月,斯坦在纽约佳士得拍卖行以创纪录的 3184 万美元成交(约合人民币 2 亿多),但无人知道买家是谁。如今答案终于揭晓,而人们也都认为,这座仍在建设中的豪华博物馆,无疑配得上这头超级霸王龙。

国画 《岭南风情——木棉、芭蕉、蛋花、荔枝》

"我吃了药喝了酒,不想活了,我对不起我父亲!" 3 月 22 日 21 时 36 分,绵阳市公安局情指中心接处警大厅 110 电话骤然响起,一名男子打来电话,要和这个世界诀别。

原因很简单,地里居然能长出许多"零食",让我感到十分神奇。

这并非北京搜厚物业管理有限公司首次因为加价收取电费被处罚。据媒体报道,2021 年 12 月 7 日,上海市市场监督管理局披露,因存在向商户加价多收电费的电力价格违法行为,北京搜厚物业管理有限公司上海多家分公司于日前连续收到 7 份行政处罚,被处以警告并合计罚款 8664 万元。

上述经由不错通过使用 python 实用标准" getST "径直从 Impacket 引申。与 Rubeus 比拟,该器具不需要对狡计机帐户密码进行散列,而是需要对纯文本进行哈希处理。不错通过引申以下敕令来恳求作事票证:

CIFS 票证—— getST

票证将在刻下职责目次中保存为 .ccache。

调遣票证

Rubeus 的最终票证授予票证 ( TGT ) 是基于 64 编码的。为了用于 Kerberos 身份考证,票证需要经受 .ccache 面貌。引申以下敕令将解码票证并将输出写入 .kirbi 文献。

Base64 - Kirbi Ticket

Impacket 包含一个 python 实用标准,它不错将具有 .kirbi 延长名的 Kerberos 票证调遣为 .ccache。

票证调遣器——从 kirbi 到 ccache

" KRB5CCNAME "环境变量应建立为 .ccache 票证的位置,以便在 Kerberos 身份考证期间使用来自缓存的票证。

环境变量—— Kerberos 票证

通过 Kerberos 身份考证探问

获取属于看管员帐户的票证意味着它可用于从更高的角度探问策行为事。 来自 Impacket 的" wmiexec "和" psexec "都守旧 Kerberos 身份考证,因此可用于以看管员或系统身份探问主机,完成权限普及决策。

Wmiexec —— Kerberos 身份考证

引申" psexec "将在策划主机上创建一个作事,它被以为是不安全的。 然则,它不错通过使用" -k "和" -no-pass "标志指定看管员帐户和策划主机来使用 Kerberos 身份考证来引申。

Psexec —— Kerberos 身份考证

或者仅使用相易的标志和策划主机。

psexec —— Kerberos 身份考证够了够了流出来了高c同学






Powered by 超碰超碰 @2013-2022 RSS地图 HTML地图