Kerberos双跳变通办法

这篇文章将介绍一些快速而邪恶的解决方法，以克服在Windows环境中进行红队活动时可怕的两次跳跃问题。这篇文章中介绍的方法也涉及到一般的Windows横向移动技术-而不仅仅是双跳解决方案。

如果您必须横向移动或在Windows环境中进行常规系统管理，那么您可能会遇到这个障碍-特别是Powershell Remoting / WinRM。如果您不确定什么是两次跳转问题，下面将对其进行简要介绍。否则，请查阅此Microsoft文章以获得更好的主意。

当您的攻击方具有内部网络访问权限，但未加入域时，此帖子将关注一个场景（从红色团队成员的角度出发）。还假设您作为攻击者仅具有CLI访问权限，并且具有“本地管理员”资格-而且在整个域中都启用了WinRM。

笔记
列出的方法并不全面。通常，这些方法将取决于环境配置，权限，收获的凭据等。

WinRM双跳蓝调*

这是问题的经典示例。左侧是从攻击者框到第一个目标跃点（bizintel）的PowerShell远程会话。右侧是直接终端到teltel。两者都在远程目标secdev上运行dir命令。

下面是另一个示例，显示了teltel上的PS远程会话，然后尝试将另一个PS远程会话插入secdev。类似于跳箱情况。

如果PS远程处理的功能与Linux上通过SSH跳来跳去的功能相同，那会很好吗？不，这不容易！

Microsoft解决方案

此问题是设计使然（Kerberos），Microsoft提供了解决此问题的解决方案。尽管从某种意义上说，人们可能无权或无权进行某些更改，尤其是基于资源的委派的最安全的解决方案。

相对于此博客文章，这是MS提供解决方案的最新文章。提到的建议的更高安全性方法是“基于资源的约束委派”。由于这是一个红色的团队职位，并且我们还没有Domain Admin，因此我们将避免涉及此内容。此外，此处不会介绍CredSSP技术。

调用命令

这种方法有点像“双跳”问题，“不一定”可以解决。它不依赖任何配置，您只需在攻击框中运行它即可。它基本上是一个嵌套的Invoke-Command。

这将在第三个服务器secdev上运行主机名。

$cred = Get-Credential ta\redsuit
Invoke-Command -ComputerName bizintel -Credential $cred -ScriptBlock {Invoke-Command -ComputerName secdev -Credential $Using:cred -ScriptBlock {hostname}
}

笨拙的，但是可以照本宣科。

您还可以使用bizintel建立PS-Session，然后从那里直接运行带有$ cred的Invoke-Command。虽然，从攻击框中运行它可以集中执行任务。

端口代理

由于我们在中间目标teltel：10.35.8.17上具有本地管理员，因此您可以添加端口转发规则，以将请求发送到最终/第三个服务器secdev：10.35.8.23。

可以快速使用netsh撕掉一条线并添加规则。

netsh interface portproxy add v4tov4 listenport=5446 listenaddress=10.35.8.17 connectport=5985 connectaddress=10.35.8.23

因此，bizintel正在侦听端口5446，并将转发5446的请求转发到secdev端口5985（又名WinRM）。

然后在Windows防火墙上打一个洞，这也可以使用快速的netsh单行程序完成。

netsh advfirewall firewall add rule name=fwd dir=in action=allow protocol=TCP localport=5446

现在建立会话，它将把我们转发到secdev。

winrs.exe

使用winrs.exe时，Portforwarding WinRM请求似乎也可以工作。如果您知道正在监视PowerShell，那么这可能是一个更好的选择。下面的命令将“ secdev”作为主机名的结果。

winrs -r:http://bizintel:5446 -u:ta\redsuit -p:2600leet hostname

像Invoke-Command一样，它可以很容易地编写脚本，因此攻击者可以简单地将系统命令作为参数发出。通用批处理脚本示例winrm.bat：

笔记
如果您正在阅读TheSprawl实验室范围内的此书并杀死他们，则用户redsuit的密码不是2600leet，如上所示le

OpenSSH

此方法需要在中介盒（也称为bizintel）上安装OpenSSH。可以完全通过CLI完成Windows版OpenSSH的安装，完全不需要花费很多时间，而且它也不会标记为恶意软件！

当然，在某些情况下，这可能不可行，太麻烦或可能是OpSec的一般风险。

此方法在跳箱设置中特别有用-可以访问否则无法访问的网络。建立SSH连接后，用户/攻击者可以根据需要针对分段网络触发尽可能多的New-PSSession，而不会引发双跳问题。

当配置为在OpenSSH中使用密码身份验证（不是密钥或Kerberos）时，登录类型为8，即网络明文登录。这并不意味着您的密码是明文发送的，实际上是通过SSH加密的。到达后，它会通过其身份验证包将其加密为未加密的明文，以供您会话，以便进一步请求多汁的TGT！

这使中间服务器可以代表您请求并获取TGT，以将其本地存储在中间服务器上。然后，您的会话可以使用此TGT对其他服务器进行身份验证（PS远程）。

OpenSSH安装方案

从github下载最新的OpenSSH Release zip到您的攻击框中，然后将其移到上方（或直接将其下载到跳转框中）。

将zip解压缩到您想要的位置。然后，运行安装脚本-Install-sshd.ps1

最后，只需添加防火墙规则以打开端口22。验证已安装SSH服务，然后启动它们。这两个服务都需要运行才能使SSH正常工作。

如果收到连接重置错误，请更新权限以允许“所有人：在OpenSSH根目录上读取并执行”。

icacls.exe "C:\Users\redsuit\Documents\ssh\OpenSSH-Win64" /grant Everyone:RX /T

现在将它们放在一起。

检测恶意使用

除了拥有一个用于监视Powershell活动的系统之外，您还可以在本地或远程检查一些配置，这些配置可能指向恶意的双跳用法（或其他安全问题）。

检测端口转发

使用netsh.exe进行快速本地检查以列出所有转发的端口。默认情况下，不应转发任何端口。

netsh interface portproxy show all

否则，请通过PS远程处理进行远程检查-也可以编写脚本以涵盖整个域。

Invoke-Command -ComputerName bizintel -Credential ta\redsuit -ScriptBlock {netsh interface portproxy show all
}

如果整个域都禁用了WinRM，但是您仍然想远程检查转发的端口，则可以使用wmic.exe

wmic /node:bizintel /user:ta\redsuit /password:2600leet process call create 'cmd.exe /c netsh interface portproxy show all'

CredSSP

凭据安全支持提供程序是另一种明显不安全的方法。多年来，启用CredSSP一直是各种论坛上提到的解决方案。从Microsoft：

“ CredSSP身份验证将用户凭据从本地计算机委派给远程计算机。这种做法增加了远程操作的安全风险。如果远程计算机受到威胁，则在将凭据传递给它时，可以使用凭据来控制网络会话。”

如果发现在生产系统，敏感网络等上启用了CredSSP，建议将其禁用。快速检查CredSSP状态的方法是运行Get-WSManCredSSP。如果启用了WinRM，则可以远程执行。

Invoke-Command -ComputerName bizintel -Credential ta\redsuit -ScriptBlock {Get-WSManCredSSP
}

检测服务器委派

另一个值得检查的配置是Kerberos委派。如前所述，配置受约束/不受约束的委托是Microsoft提供的解决双跳问题的解决方案。

攻击者不仅需要本地管理员来配置kerberos计算机委派，因此，如果发现恶意委派设置，则可能会遇到更大的问题。

您可以使用PowerView模块快速发现不受约束（坏！）或受约束的委托的主机。

Get-DomainComputer -Unconstrained
Get-DomainComputer -TrustedToAuth

*笔记
了解您的网络。仅仅因为这些命令和模块可能会拉回许多结果，并不意味着它们已被恶意配置。

概括*

请记住，如果您管理Windows网络，请确保遵循MS最佳实践指导，而不要遵循此帖子。

如果您发现这篇文章很有用，并且希望获得一些远程实验室动手操作，请确保签出可用范围。如果您特别想练习WinRM / PS远程处理，则可以在TheSprawl实验室范围的最终域中启用它-包括本文中讨论的teltel和secev。尽管有所建议，但不建议初学者使用TheSprawl。