域渗入技能:MachineAccountQuota的应用 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

域渗入技能:MachineAccountQuota的应用

申博_安全预警 申博 109次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

MachineAccountQuotaMAQ)是一个域级别的属性,默许状况下许可非特权用户将最多10台盘算机衔接到Active DirectoryAD)域。我第一次打仗MAQ是在我作为网络治理员的时刻。事先我被分配了一个将长途主机到场AD的义务。在增添了十台盘算机后,当我再次实验增添新机械时弹出了下面的毛病音讯:

 域渗入技能:MachineAccountQuota的应用

搜刮毛病音讯后,我发现了ms-DS-MachineAccountQuota这个页面。网页显现的细节信息与我供应的无特权AD接见是一致的。我联系了一名治理员并诠释了状况。他不熟悉怎样增添我帐户的配额。相反,他为我供应了一个域治理员帐户来继承完成我的事变。

Powermad

2017岁终,我宣布了Powermad,它是一个衍生自LDAP域到场数据包捕捉的PowerShell函数鸠合的工具。在发掘数据包以后,我肯定了建立机械帐户工具的单一加密LDAP增添操纵。以下是未加密状态下LDAP增添操纵的示例:

 域渗入技能:MachineAccountQuota的应用

开辟Powermad时我的主要效果是在渗入测试历程当中更轻易地运用MAQ。在曩昔,我曾见过渗入测试职员经由历程将完整的Windows操纵体系附加到域来运用MAQ。我愿望能够或许只增添一个已知暗码的机械帐户(也称为盘算机帐户),而不是仅以这类体式格局运用MAQ

 域渗入技能:MachineAccountQuota的应用

那末MachineAccountQuota究竟有效吗?

自从我第一次最先研讨Powermad以来,我已学到了许多关于MAQ的学问,而不仅仅是默许的只能增添10个主机的限定。近来,我从Elad ShamirHarmj0yDirk-jan一些出色博客文章中学到了更多器械,个中一些文章也提到了MAQ

总的来讲,我得出的结论是MachineAccountQuota异常有效……

域渗入技能:MachineAccountQuota的应用

固然,只是有时刻。

在这篇博文中,我将作为进击者经由历程10条划定规矩来处置惩罚MAQ。我仅仅以向AD中增添盘算机帐户而不是附加完整的Windows体系的角度编写了这些划定规矩。稍后,我将一些划定规矩运用于MAQ + Kerberos的无束缚托付用例。末了,我将处理针对MAQ相干破绽的进击要领。

划定规矩是什么?

我把我对MAQ的相识分解为10条划定规矩。愿望你能够运用这些划定规矩来肯定MAQ在任何特定状况下是不是有效。

1、MAQ许可非特权用户将机械帐户工具增添到域。默许状况下,非特权用户能够建立10个盘算机帐户。

域渗入技能:MachineAccountQuota的应用

你无需实行任何特别操纵便可挪用MAQ。你只需实验运用还没有直接授与域到场权限的帐户增添盘算机帐户。

建立者帐户的SID存储在ms-DS-CreatorSID属性中。仅当建立者不是治理员或未被授与增添盘算机帐户的权限时,AD才会添补此属性。

域渗入技能:MachineAccountQuota的应用

AD还运用ms-DS-CreatorSID来盘算针对MAQ的以后计数。从渗入测试角度来看,请记着该属性指向了建立者帐户,纵然嵌套的MAQ用法也是云云。因而,运用经由历程MAQ建立的盘算机帐户不克不及完整屏障建立者帐户。

域渗入技能:MachineAccountQuota的应用

若是防备职员认识到了ms-DS-CreatorSID属性,那末他们极能够已禁用了MAQ

经由历程MAQ建立的盘算机帐户将放入域盘算机组。在Domain Computers组被授与分外权限的状况下,要重点注重此权限还能够经由历程MAQ扩大到非特权用户。比方,你能够会在当地Administrators组中找到列出的域盘算机。

域渗入技能:MachineAccountQuota的应用

以至在域治理员组内找到。

域渗入技能:MachineAccountQuota的应用

作为此划定规矩的稍微扩大,请注重依据盘算机帐户称号的局部自动将盘算机安排在OU和组中。你能够经由历程MAQ运用这个自动化历程。

建立者帐户被授与对某些盘算机帐户工具属性的写接见权。一般,这包孕以下属性:

· 帐户已禁用

· 形貌

· 显现称号

· DNSHOSTNAME

· ServicePrincipalName

· userParameters

· userAccountControl

· msDS-AdditionalDnsHostName

· msDS-AllowedToActOnBehalfOfOtherIdentity

· samAccountName

· 你能够依据须要修正这些属性。

域渗入技能:MachineAccountQuota的应用

然则,某些属性的许可值仍须要考证。

盘算机帐户自身具有对其某些属性的写接见权。该列表包罗msDS-SupportedEncryptionTypes属性,该属性能够会对协商历程的Kerberos加密要领产生影响。古代Windows操纵体系版本将在到场域的历程当中将此属性设置为28 

域渗入技能:MachineAccountQuota的应用

增添盘算机帐户时,会严厉考证属性。基本上,属性值须要完整婚配。若是它们不婚配,则会增添失利,比方下面是一个samAccountName的不准确示例。
 
奇怪的是,在增添盘算机帐户后,一些考证划定规矩会变的宽松。

域渗入技能:MachineAccountQuota的应用

samAccountName能够改变成已存在于一个域的任何不婚配的samAccountName。变动此属性有助于将渗入活动与正当流量夹杂,比方经由历程剥离“$”字符或婚配正在运用的帐户定名商定。风趣的是,samAccountName以至能够在许可模拟任何现有域帐户的空间中完毕。

域渗入技能:MachineAccountQuota的应用

以下是捏造的治理员帐户在现实操纵中的显现体式格局。

域渗入技能:MachineAccountQuota的应用

请注重,变动samAccountName不会变动现实的盘算机帐户工具称号。因而,你能够运用与定名商定夹杂的盘算机帐户工具,同时还具有完整分歧的samAccountName

增添盘算机帐户会建立4SPN。该列表包孕以下内容:

· HOST / MachineAccountName

利用LeechAgent对远程物理内存进行取证分析

LeechAgent是一个100%免费的开源端点取证解决方案,适用于对活动目录环境中的Windows端点进行远程物理内存的取证与分析。 LeechAgent提供了一种简单、高性能且安全的方式来远程访问和查询系统物理内存(RAM)。使用MemProcFS挂载远程内

· HOST / MachineAccountName.domain.name

· RestrictedKrbHost / MachineAccountName

· RestrictedKrbhost / MachineAccountName.domain.name

域渗入技能:MachineAccountQuota的应用

比方,以下是‘test.inveigh.net’盘算机帐户的默许SPN列表。

域渗入技能:MachineAccountQuota的应用

增添盘算机帐户后,能够运用任何经由历程考证的SPN附加或替代列表。 若是修正samAccountNameDnsHostnamemsDS-AdditionalDnsHostName属性,SPN列表将自动运用新值举行更新。默许的SPN确切涵盖了许多用例。因而,你其实不老是须要修正列表。若是须要有关SPN的更多信息,Sean Metcalf AdSecurity供应了异常完整的列表,个中包罗有关HostRestrictedKrbHost的详细信息。

盘算机帐户没有当地登录的权限。但是,经由历程直接运转或经由历程运用了“runas / netlonly”敕令接收凭证的工具,机械帐户就能够或许在敕令行中一般事变。义务能够包孕罗列增添DNS纪录,或许险些任何适用于用户帐户的非GUI操纵。 

域渗入技能:MachineAccountQuota的应用

经由历程MAQ增添的盘算机帐户没法由非特权建立者帐户删除。要在运用MAQ后彻底清除AD,你须要提拔域权限或将义务通报给你的客户端。然则,你能够运用非特权建立者帐户禁用该帐户。 

域渗入技能:MachineAccountQuota的应用

MachineAccountQuota的现实运用

让我们接纳上述划定规矩并将其运用于已拿到权限而且具有SeEnableDelegationPrivilegeAD帐户。如划定规矩4中所述,纵然帐户具有对属性的写接见权限,写入实验依然须要举行考证。

 域渗入技能:MachineAccountQuota的应用

然则,若是你恰巧运用了准确的权限(比方SeEnableDelegationPrivilege拿到某个帐户,事变会变得风趣。

 域渗入技能:MachineAccountQuota的应用

在这类状况下,我们能够运用‘INVEIGH \ kevin’帐户和MAQ来建立和设置装备摆设能够或许实行Kerberos无束缚委派的盘算机帐户工具。这能够异常轻易的消弭寻觅现有适宜的AD工具以运用SeEnableDelegationPrivilege的请求。基本上,我们能够经由历程MAQ来做到这一点。

请注重,这是个中一种状况,若是能够的话,只需运用你本身的Windows体系到场域就能够或许使事变变得越发轻易。若是你确切接纳了这类要领,那末你只需在盘算机帐户工具上启用无束缚委派,并像在被入侵的体系上一样运用它。别的,当我们只运用机械帐户时,该历程依然异常易于治理。

Kerberos无束缚委派设置

关于这类状况,我们假定我们在随机的一台Windows域体系上具有非特权接见权限,而且还拿到了一个具有SeEnableDelegationPrivilege权限的帐户。

以下是设置进击的步调:

1、运用SeEnableDelegationPrivilege帐户经由历程MAQ增添盘算机帐户。 

域渗入技能:MachineAccountQuota的应用

2、经由历程将userAccountControl属性设置为528384来启用无束缚委派。 

域渗入技能:MachineAccountQuota的应用

3、(可选)设置msDS-SupportedEncryptionTypes属性以运用盘算机帐户的凭证设置所需的Kerberos加密范例。 

域渗入技能:MachineAccountQuota的应用

4、(可选)增添与SPN相婚配和对应的DNS纪录,并指向拿到的Windows体系。这一般能够经由历程动态更新或LDAP来完成。这个操纵是可选的,因为运用默许SPNKerberos还能够从其他称号剖析要领(如LLMNR / NBNS)触发。 

域渗入技能:MachineAccountQuota的应用

Kerberos无束缚委派进击

有了上述内容,我们接下来须要弄清楚怎样猎取到已拿到的主机所需的帐户流量。关于第一步,我们将运用tifkin的打印机毛病来猎取域控制器盘算机帐户以经由历程SMB衔接到我们的体系。另外,我们将运用Inveighdev Branch版本。经由历程数据包嗅探,此版本能够猎取SMB Kerberos TGT流量并实验输出kirbi文件,以便与MimikatzRubeus等工具一同运用。

关于Inveigh,我们须要运用无束缚委派帐户的AES256哈希或带有Kerberos saltPSCredential工具作为用户名。下面显现的是运用PowermadGet-KerberosAESKey函数天生准确的AES256哈希的历程。

 域渗入技能:MachineAccountQuota的应用

注重,Inveigh如今仅支撑AES256 Kerberos解密。

因为我们想要运用我们的无束缚托付机帐户的SPN,我们须要让目的衔接到准确的主机名。在这个例子中,我将运用Dirk-jan 近来宣布的Krbrelayx工具包中的printerbug剧本。

 域渗入技能:MachineAccountQuota的应用

到这一步时,让我们退后一步,从新审阅这些SPN。起首,我们在拿到的体系上以SYSTEM权限运转了SMB服务器。这意味着SMB服务器将运用体系的盘算机帐户凭证解密Kerberos票证。若是我们有意让SPN不婚配并实验运用在分歧SPN下加密的数据实行Kerberos身份考证,则SMB身份考证将失利。然则,SMB服务器在客户端发送AP-REQ 以后才会谢绝认证实验。

 域渗入技能:MachineAccountQuota的应用

更主要的是,关于这类状况,SMB服务器将在收到TGT后谢绝衔接。因而,若是我们能够经由历程数据包嗅探猎取Kerberos流量,我们能够运用我们具有的机械帐户凭证解密所需的数据。

 域渗入技能:MachineAccountQuota的应用

请注重,运用SPN不婚配技能能够会触发来自客户端的屡次Kerberos身份考证实验。我将Inveigh设置为默许状况下每一个用户仅输出2kirbi文件。Inveigh会将其他的存储在内存中,以便经由历程Get-Inveigh举行接见。

如今我们有域控制器的kirbi TGT,我们能够将它通报给Mimikatz并实验实行dcsync

 域渗入技能:MachineAccountQuota的应用

在另一个演示中,我运用Inveigh来捕捉SMB上的域治理员的TGT

 域渗入技能:MachineAccountQuota的应用

接下来,我运用Rubeus处置惩罚kirbi文件。

 域渗入技能:MachineAccountQuota的应用

作为末了一个例子,下面是Inveigh经由历程HTTP捕捉TGT

 域渗入技能:MachineAccountQuota的应用

在抱负状况下,HTTP能够不须要对受沾染体系的当地治理员举行接见。

末了,上面的Kerberos无束缚托付手艺也适用于新的krbrelayx工具包。

关于SeEnableDelegationPrivilege + MAQ我想说的末了一句话是,因为缺少对msDS-AllowedToDelegateTo的写接见权限,因而完整设置规范的束缚委派一般是不可行的。

防备MachineAccountQuota

我置信MAQ只是人们缺少充足的安全认识的默许设置之一。我预测公司很少真正须要默许的MAQ设置,以至基础不须要它。要禁用MAQ,只需将计数设置为0。若是确切须要许可非特权用户增添主机到域中,那末更好的要领是将权限委派给特定组。请注重,此博客文章中列出的大局部内容也适用于具有委派域到场权限的受沾染帐户。

戍守者还能够注意两件事:

· 已添补的ms-DS-CreatorSID属性

· 未变动暗码的盘算机帐户

结论

与大多数事变一样,MachineAccountQuota的运用状况也是有情境性的。关于测试职员来讲,这对你的渗入技能来讲是值得斟酌的。近来由Elad Shamir等研讨职员宣布的手艺使这一点变得越发显着。关于防备者,我发起只禁用MachineAccountQuota便可。

利用LeechAgent对远程物理内存进行取证分析

LeechAgent是一个100%免费的开源端点取证解决方案,适用于对活动目录环境中的Windows端点进行远程物理内存的取证与分析。 LeechAgent提供了一种简单、高性能且安全的方式来远程访问和查询系统物理内存(RAM)。使用MemProcFS挂载远程内


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明域渗入技能:MachineAccountQuota的应用
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址