在内网中拿下DC的五种经常使用要领 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

在内网中拿下DC的五种经常使用要领

申博_安全防护 申博 187次浏览 已收录 0个评论

媒介

我有一个骚设法主意:这么多年来,我一向处置平安方面的事情,供应了很多的渗入测试效劳和红队效劳。
我一开始做渗入的时刻也能很快拿到DC权限。

2013年9月,Spider Labs写了一篇文章,题目是经由历程SpiderLabs在内网中拿到DC的五种要领 。
这篇文章就当作是它的后续吧。

在内网中拿下DC的五种经常使用要领

Netbios和LLMNR称号中毒

虽然说Netbios/LLMNR并不像2013年那样提高,然则绝大多数的测试都邑致使平安评价职员取得NTLMv1和NTLMv2哈希并规复成可用的凭据。
如今有一些高等框架可以或许举行暴力破解,比方hate_crack。
我自身的话运用一些自身汇集的经常使用字典就很轻易胜利破解:uniqpass 和罕见hashcat划定规矩集best64,但碰到庞杂的暗码,就没办法了。

Responder,可以或许说是首选用来举行中间人进击的对象。它仍由Laurent Gaffie保护。
Inveigh,它是基于Unix/Linux 下 python版本的Responder,可以或许运转在原生的Windows上。
Inveigh的中心是一个.NET数据包嗅探器,它监听并相应LLMNR/mDNS/NBNS要求,同时还经由历程Windows SMB效劳抓取NTLMv1/NTLMv2的身份考证数据包。
在windows情况中,这两种中间人对象包适用于渗入测试职员和red team,

重放进击

较新的中间人重放对象重要由Laurent Gaffie保护,特地为SMB重放进击制造的。

我小我更喜好impacket的对象,用于重放进击和其他渗入测试需求。我发明Impacket的对象在大多数unix上都是牢靠而且稳固的,而且可以或许在Mac OS上当地运转。与其他免费开源对象比拟,其他对象在主机上实行时会留下相对较小的陈迹(若是忧郁被发明或许匹敌蓝队)。

SMB重放进击诠释

smbrelayx.py

这个模块是最后由cDc发明的SMB中继进击而开辟的。
它吸收目标列表,关于收到的每个衔接,它选摘要通讯的目标并实验重放凭据。 除此之外,若是指定,它将起首针对衔接到我们的客户端举行身份考证。
然后经由历程挪用SMB和HTTP Server,hook一些函数然后运用smbclient的一局部来完成。
它应当适用于任何LM兼容级别。
阻挠此进击的独一要领是强迫让效劳器举行SPN搜检或许搜检署名,然后SMB重放进击就GG。

若是客户端身份考证胜利和针对当地smbserver设置的有用衔接。 用户可以或许设置当地smbserver功用。 一种挑选是运用你愿望受害者以为他衔接到的是有用SMB效劳器的文件,然厥后设置同享。
这些操纵都是经由历程smb.conf文件或以编程体式格局完成的。

NTLM重放进击诠释

ntlmrelayx.py

NTLM身份考证是一种基于challenge-response 的协定。 challenge-response协定运用配合的密钥,在这类情况下:用用户的暗码去考证客户端。 效劳器发送一个challenge,客户端复兴此challenge的相应。 若是challenge与效劳器盘算的challenge相匹配,则接收身份考证。 NTLM身份考证是一种庞杂的协定,这里诠释的是简化。 可以或许在http://davenport.sourceforge.net/ntlm.html找到异常好的细致描述。

ps:倾旋的博客讲的很细致:

质询的完全历程:
1.客户端向效劳器端发送用户信息(用户名)要求

2.效劳器接收到要求,天生一个16位的随机数,被称之为“Challenge”, 运用登录用户名对应的NTLM Hash加密Challenge(16位随机字符), 天生Challenge1。同时,天生Challenge1后,将Challenge(16位随机 字符)发送给客户端。

3.客户端接收到Challenge后,运用将要登录到账户对应的NTLM Hash加密Challenge天生Response,然后将Response发送至效劳器端。

个中,经由NTLM Hash加密Challenge的效果在收集协定中称之为Net NTLM Hash。

考证: 效劳器端收到客户端的Response后,比对Chanllenge1与Response是不是相称,若相称,则认证经由历程。

在内网中拿下DC的五种经常使用要领

SMBRelay和较新的进击都应用了SMB署名,许可高权限用户经由历程SMB/NTLM身份考证机制举行身份考证。

记得注重分歧收集上的Windows主机列表中包罗的目标。
我有一个很好的技能是以随机体式格局建立非smb署名主机的目标列表。

这些主机,可以或许让我更快的猎取到域管理员许可域用户当地管理员接见与域控制器而且同享的是雷同当地管理员暗码的SQL效劳器。

默许情况下,若是未指定要实行的二进制文件,则ntlmrealyx将运转secretsdumps。

在内网中拿下DC的五种经常使用要领

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

胜利完成NTLM重放后,您将在实行ntmrelayx的目次中找到名为IP_samhashes的哈希文件。

运用impacket的wmiexec.py文件实行pass-the-hash,因为我们此时有了管理员的hash值。

在内网中拿下DC的五种经常使用要领

在内网中拿下DC的五种经常使用要领

在上面的场景中,我可以或许将凭据从一个收集重放到另一个收集,然后运用wmiexec.py举行hash通报。 这个管理员的hash让我不消再去破解暗码,以至还具有一个高权限的账户。

MS17-010

nmap -Pn -p445 - open - max-hostgroup 3 - smb-vuln-ms17-010 script <ip_netblock>

445这个洞就不多说了,内网的情况下很轻易应用,详细也要看目标情况。

在内网中拿下DC的五种经常使用要领

Kerberoasting

我运用Kerberoasting这个进击手腕在Active Directory域情况中胜利的提权。 Tim Medin在2014年SANS Hackfest上展现了这项手艺,
从那以后,有了很多关于进击细节的精彩文章和议论和分歧的手艺对象。

Microsoft的Kerberos完成能够有点庞杂,但进击的重点是它应用了老版Windows客户端的Active Directory支撑和所运用的加密范例和用于加密和签订Kerberos单子的密钥资料。

实质上,当域帐户设置装备摆设为在情况中运转效劳(比方MSSQL)时,域中将运用效劳主体称号(SPN)将效劳与登录帐户相关联。
当用户愿望运用特定资本时,他们会收到运用运转该效劳的帐户的NTLM哈希署名的Kerberos单子。

下面是一个来自mubix’s website的例子:

root@wpad:~/impacket/examples# ./GetUserSPNs.py -dc-ip 192.168.168.10 sittingduck.info/notanadmin
Impacket v0.9.15-dev - Copyright 2002-2016 Core Security Technologies

Password:
ServicePrincipalName                Name        MemberOf                                          PasswordLastSet
----------------------------------  ----------  ------------------------------------------------  -------------------
http/win10.sittingduck.info         uberuser    CN=Domain Admins,CN=Users,DC=sittingduck,DC=info  2015-11-10 23:47:21
MSSQLSvc/WIN2K8R2.sittingduck.info  sqladmin01                                                    2016-05-13 19:13:20

mitm6

Mitm6是一个异常壮大的对象,用于猎取和提拔对照典范Windows的播送收集的权限。
当上面的手腕失利时; 实验运用smbrelay + mitm6或它的默许对应物ntlmreayx。
多思索,想办法尽快拿下DC。

在内网中拿下DC的五种经常使用要领

ntlmrelayx:

mitm6重要与ntlmrelayx一同运用,应当互雷同时运转,在这类情况下,它会诳骗DNS效劳器,致使受害者衔接到ntlmrelayx然后举行HTTP和SMB衔接。为此,您必需确保运用-6option运转ntlmrelayx,这将使其在IPv4和IPv6上举行监听。要猎取WPAD的凭据,请运用-wh HOSTNAME指定要诳骗的WPAD主机名(因为DNS效劳器是mitm6,因而当地域中的任何不存在的主机名都将起作用)。或许,若是您疑心目标没有打MS16-077的补钉,您还可以或许运用-wa Nparameter实验提醒WPAD文件自身的身份考证。

mitm6是一个测试对象,它应用Windows的默许设置装备摆设来接受默许的DNS效劳器。它经由历程回应DHCPv6音讯,为受害者供应链路当地IPv6地点并将进击者主机设置为默许DNS效劳器来完成此目标。 DNS效劳器mitm6将有挑选地复兴进击者挑选的DNS查询,并将受害者流量重定向到进击者盘算机而不是一般的效劳器。有关进击的完全申明,请参阅我们关于mitm6的博客。 Mitm6重要用来与impacket的ntlmrelayx一同事情,用于WPAD诳骗和凭据重放。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明在内网中拿下DC的五种经常使用要领
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址