标题 简介 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2019-2467]   作者:hudie 发表于[2019-09-06]

本文共 [11] 位读者顶过

五、域用户hash提取

域用户帐户以域数据库的形式保存在活动目录中,ntdsutil.exe是域控制器自带的域数据库管理工具,从windows 2008就默认自带了,因此我们可以通过域数据库,提取出域中所有的域用户信息,在域控上依次执行如下命令,导出域数据库:

Ntdsutil –snapshot—activate instance ntds—create—mount {guid}—copy 装载点\windows\NTDS\ntds.dit d:\ntds_save.dit

图13

域数据库装载完毕,即可进行复制,如下图:

图14

最后执行unmount {guid}—delete {guid}–quit删除装载点即可,避免被发现,接着上传工具QuarksPwDump到域控制器上,然后执行如下命令,成功提取用户hash,如下图:

QuarksPwDump –dump-hash-domain –ntds-file d:\ntds_save.dit

图15

注意上面的操作必须在域控制器上,否则会出现如下错误,这是因为打开域数据库需要用到相应的数据库引擎,如下图:

图16

除了上面的操作方法外,还可以使用mimikatz一条命令,获取域控制器上所有用户的hash:

mimikatz log “privilege::debug” “lsadump::lsa /patch”

图17

六、票据传递攻击

域中每个用户的Ticket都是由krbtgt的密码Hash来计算生成的,因此只要我们拿到了krbtgt的密码Hash,就可以随意伪造Ticket,进而使用Ticket登陆域控制器,使用krbtgt用户hash生成的票据被称为Golden Ticket,此类攻击方法被称为票据传递攻击。

首先,我们来生成Golden Ticket,这里需要修改相应的域管理员账号、域名称、sid值,如下图:

图18

接着我们使用如下指令导入票据:

图19

导入成功后,我们在域成员主机上执行klist,即可查看缓存的票据,如下图:

图20

最后,我们就可以使用票据传递攻击,登陆域控了,如下图:

图21

因此,在域渗透过程如果发现域管理员的密码已经修改,可尝试利用krbtgt用户的历史hash来进行票据传递攻击,krbtgt用户的密码一般不会有人去修改。

此外,域渗透过程中可能会使用到MS14-068这个漏洞,微软给出的补丁是kb3011780,在server 2000以上的域控中,如果没有打这个补丁,那么情况将比较糟糕,利用该漏洞可以将任何一个域用户提权至域管理员权限,危害极大。

[出自:jiwo.org]

评论

暂无
发表评论
 返回顶部 
热度(11)
 关注微信