Summary

实战与靶机环境差别很大，内网的微软ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全组件过于强大，很多工具都是根本无法使用的，免杀后会有各种问题.尤其是CS，不愧为北美最强EDR。

本地免去了隐蔽隧道联通外网搭建的过程，简单了一些，因为微软漏洞一直有专门的TSG打补丁，所以单独靠CVE难比登天。本文就这段时间的行动与思考做一个记录，Rspect!

Information collection

首先是常规的一些用户权限，域内环境等信息获取。测试账户是User Domain.

主机信息获取
systeminfo #在这里就遇到了问题，按理说域内主机打的KB都会记录在里面，但是我发现里面仅有5个补丁，说明windwos补丁是由DC与安全组件统一去打，并不会记录在域内的用户主机上.
tasklist #看到防护组件是falcon与Defender ATP,当然这属于多次一举,事先已经得到这些信息。
角色网络域信息
ipconfig /all #看到主机名与IP地址信息，DNS后显示域名xxx.org存在，确定Domain name.
net view /domain #直接报错。
net time /domain #显示出了domain,再通过nslookup查到IP地址，确认此账户的DC name。
用户信息
whoami /all # 查看一下权限，确认能不呢启动windows系统进程，powershell等。
net group "Domain Admins" /all #查询域管理员账户,这个比较关键，为后面DESync做铺垫
net group "Enterprise Admins" /domain #查询管理员用户组
net group "Domain Controllers" /domain #查询域控制器，查到光中国就55个域，着实是大公司了。
SPN查询服务信息
setspn -q */* | findstr "xxx" #查询服务信息，主要啊是去搜了LDAP，共享主机和管道的开启状态。

PotitPetam初探

查资料发现PotitPetam是Printerbug在被大范围修复后的又一攻击渠道，最开始利用EfsRpcOpenFileRaw函数对其他主机做身份验证，微软虽然在后面的补丁中尝试修复问题，但是新出现的EfsRpc函数仍可以利用，需要用它来获取NTLM-Hash，简单看了下原理，似懂非懂。此次的攻击由于ADCS限制，不管是Relay还是约束委派都无法直接利用，且会被falcon监控到。所以尝试使用一种凭证降级的攻击利用方法，先获取凭证再说。整个Attack Pocess就像Web中的MITM（中间人攻击），必须在域内的一台主机中开启监听网卡，然后通过MS-EFSR向靶机发送验证来获取关键的DC凭证，所以必须知道一台域内通过NTLM认证可连接的DC主机，并且可以通过lsarpc或者其他pipe联通。不然无法进行PotitPetam，而且由于最新的DC管理默认NTLMv2认证，所以需要进行降级，去掉ssp。

【相关学习文档】

Step1:

攻击机就选定为这台测试机，客户机使用本机计算机，他们虽然在不同的子域内，但是彼此是相互可以联通的，DC1为本地机的域1，DC2为本地机的DNS备选域2。以防不测。在测试机进行PotitPetam。首先查看本地Lan Manage身份管理，它会决定和客户端与DC的身份验证形式，默认是未定义的，如果是NTLMv2验证形式，在后续抓取口令的时候就需要进行降级处理；其次查看匿名访问的命名管道，默认是空的，如果要使用的话必须得有一个凭据，还好有

Step2:

这儿利用PetitPotam的方式还是蛮多，gihub有现成的脚本，也可以调用EFSRPC函数去做连接，如果测试环境没有开lsarpc的话还是直接调用函数吧，域用户与域管IP，如图：

通过EfRPEncryptFileSrv() EFSRPC/lsarpc smb管道，like:

>> request = EfsRpcEncryptFileSrv()
>> request['FileName'] = '\\%s\path\test.txt\x00' %listener
#request['Flag'] = 0
#request.dump()

Step3:

在另一台DC3中做responder监听，ROOT权限才可开启，如果没有root权限的话，需要使用别的工具了。可以看到已经成功抓取了NTLMv1-ssp的域管凭证，如图：

Step4:

接下来就是NTLM降级与取消ssp处理了，有两种方便的方法，一种是直接在responder中修改challeng的值为1122334455667788,另一种是使用在线网站或工具解密NTLM Cracking.like：

Step5:

到这儿就已经拥有了DC中一个用户的凭证哈希，可以将Hash拖出来跑hashcat或者彩虹表了，不过一般DC的密码都是强密码，16位强密码破解起来难度极大，就算做了字典表也得跑很久，所以这儿再使用NTLM Relay的方式尝试。

Step6：

DCSync,使用Impacket套件中的secretdump.py去横向移动获取更多的域管理员和域用户的Hash值，将之前获取到的DC凭证带入，加上域用户名：

Step7:

PTH,哈希传递我们使用Impacket中的smbclient.py,这是一个共享smb管道，将DC管理员（权限最高）的哈希值与用户名放入，执行成功，就可以增删改查文件了。如图：

使用提权工具提权其他DC的其他非管理员用户，查看使用过smb的用户，替换哈希，提升权限，这里利用incognito2尝试了一台域内测试机,抱着试试看的态度VS改了一下特征值，神奇的是竟然没有产生告警，有点奇怪。

到这儿任务已经完成，存在PetitPotam问题。且可以成功利用获取DC信息，且整个过程绕过安全组件。

【网络安全】域渗透之完全绕开安全组件相关推荐

域渗透基础之环境搭建(单域到组件域林)
转发:https://www.e-learn.cn/content/qita/2484245 之前练习域渗透的环境被我弄丢了重新搭建一个完整的域环境吧. 域渗透的基础还是环境的搭建,单域到域树再到域 ...
腾讯安全推出御界NDR「横移检测版」，全面检测域渗透攻击
1.背景一直以来,大量企业饱受域渗透攻击困扰. 由于企业内部资产及用户量庞大,大多数企业选择 AD 域作为用户和主机统一管理的方案,然而由于防护体系不完善,攻击者往往通过攻击域控进而攻击企业内部核心 ...
从Github一开源项目ADSEC【学习域渗透攻防基础】
学习的开源项目是: https://github.com/cfalta/adsec 有些地方是直接Google 翻译过来的. 注意:本人域渗透新手,很多问题都不懂,有问题欢迎大哥后台留言啊!!! La ...
域渗透基础知识（二）之活动目录 Active Directory 的查询
目录 Active Directory Active Directory 的查询基础语法什么是BaseDN 什么是Naming Context 什么是LDAP(轻量级目录访问协议) 过滤规则 LDA ...
域渗透基础知识（五）之OU组织单位、ACL、SeEnableDelegationPrivilege特权
目录 OU组织单位 OU 与容器的区别 OU跟组的区别组织单位的创建 OU委派 OU查询 ACL(Access Control List)访问控制列表 Windows访问控制模型 ACE ACL的判 ...
内网渗透-完整的域渗透
文章首发于Freebuf:https://www.freebuf.com/articles/network/306284.html 文章目录域环境概念创建域创建组&用户加入域域渗透 ...
bat 域本机管理员密码_域渗透——Local Administrator Password Solution
0x00 前言在域渗透中,有关域内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧. 0x01 简介在实际的域环境中,域内主机的本地管理员账户往往被忽视,再 ...
【域渗透】教你怎么利用DCSync导出域内所有用户hash
前言在之前的文章<域渗透--DCSync>曾系统的整理过DCSync的利用方法,本文将要针对利用DCSync导出域内所有用户hash这一方法进行详细介绍,分析不同环境下的利用思路,给出防 ...
从域环境搭建到域渗透
转发: 从域环境搭建到域渗透(上) 从域环境搭建到域渗透(下) 转载于:https://www.cnblogs.com/little-kwy/p/11622550.html

【网络安全】域渗透之完全绕开安全组件