域渗入之在运动目次中征采: 不受限定的委派和林信托 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

域渗入之在运动目次中征采: 不受限定的委派和林信托

申博_安全防护 申博 162次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

在这篇文章中,我将针对威尔的文章中诠释的进击变量供应开端的侦察指点,主要存眷一些一般由强制机械帐户认证要领天生的平安事宜。 我还会供应一些详细的目标,申明 Rubeus 监控 TGTs 所发作的 Windows 平安事宜,和 Lee Christensen 开辟的独一公然的观点考证代码 SpoolSample (“printer bug”)的实行状况。 SpoolSample 用于强制受权到一个无束缚的效劳器。 另有数百台 RPC 效劳器还没有举行剖析,好比 SpoolSample 代码中运用的 打印机效劳器。 因而,我们不克不及假定进击者老是运用 RPC 打印机效劳器来实行这类进击。 另外,主要的是要邃晓,像如许的进击不会在真空中发作。 另有其他事宜和行动,可以或许须要在发作之前,时期和以后,以完成行动的主要目标。

进击诠释

威尔在他的文章中从打击的角度供应了许多关于进击怎样举行的信息。 作为防备者,相识敌方接纳的每一个步调以肯定可以或许供应充足信息以资助侦测进击运动的潜伏数据源是异常主要的。 他引用了”一个进击者在一个丛林中入侵了一个域掌握器或效劳器(或许任安在该丛林中具有无穷受权的效劳器) ,可以或许强制外部丛林中的域掌握器经由历程”打印机破绽”考证到进击者掌握的效劳器,由于种种受权设置,外部域掌握器的单子授与单子(TGT)可以或许在进击者掌握的效劳器上提取、从新运用,并用于损坏外部林中的证书。”

明白进击中运用的观点

在我们最先模仿和纪录这类进击的检测之前,相识进击者做了甚么和为何如许做异常主要。 在本节中,我将供应几篇资助我更好地明白这类进击的文章和文档。 关于威尔的文章中形貌的进击方式,有几件事变支撑了我的设法主意:

· 无束缚委派效劳器

· 丛林信托(双向信托)

· “打印机破绽”强制认证

甚么是委派?

简朴地说,委派许可效劳器运用顺序在效劳器衔接到其他收集资源时模仿客户端。 依据微软官方文档的申明,微软将委派界说为向效劳器受权并许可它代表客户机在状况中运用其他长途体系的支配。效劳器与其他效劳器通讯以代表客户机实行任务是很罕见的状况。

Kerberos 委派的范例

Kerberos 委派有三种范例,下表概述了这些范例的详细状况:

域渗入之在运动目次中征采: 不受限定的委派和林信托

Kerberos 无束缚委派有甚么风趣的处所?

依据微软的官方文档,当用户经由历程另一个效劳(前端效劳器具有无穷制的委派)请求接见一个效劳(后端效劳器)时,会发作以下状况:

域渗入之在运动目次中征采: 不受限定的委派和林信托

1. 用户经由历程发送 KRB_AS_REQ音讯、身份考证效劳(AS)交流中的请求音讯,向密钥分发中间(KDC)举行身份考证,并请求一个可转发的 TGT。

2. KDC 在 KRB_AS_REP音讯中返回了一个可转发的 TGT,这是身份考证效劳(AS)交流中的相应音讯。

3. 从步调2最先,用户基于可转发的 TGT 请求一个转发的 TGT。 这是经由历程 KRB_TGS_REQ 音讯完成的。

4. KDC 在 KRB_TGS_REP 音讯中为用户返回一个转发的 TGT。

5. 用户运用步调2中返回的 TGT 请求效劳票证到效劳1。 这是经由历程KRB_TGS_REQ 音讯完成的。

6. 单子授与效劳(TGS)以 KRB_TGS_REP 的情势返回效劳单子。

7. 用户经由历程发送 KRB_AP_REQ 音讯向 效劳1发出请求,供应效劳票证、转发的 TGT 和转发的 TGT 的会话密钥

8. 为了知足用户的请求,效劳1须要效劳2代表用户实行一些支配。 效劳1运用用户的转发 TGT,并在 KRB_TGS_REQ 中将其发送给 KDC,以用户的名义请求取得效劳2的单子。

9. KDC 在 KRB_TGS_REP 音讯中返回效劳2到效劳1的单子,和效劳1可以或许运用的会话密钥。 单子将客户机标识为用户,而不是效劳1。

10. 效劳1经由历程作为用户的 KRB_AP_REQ 向效劳2发出请求。

11. 效劳2做出相应。

12. 有了这个相应,效劳1如今可以或许在步调7中响运用户的请求

13. 这里形貌的 TGT 转发委派机制不限定 效劳1对转发 TGT 的运用。 效劳1可以或许向 KDC 讨取以用户名义供应的任何其他效劳的单子。

14. KDC 将返回所请求的票证。

15. 然后,效劳1可以或许继承运用效劳 N 模仿用户。 比方,若是效劳1被损坏,这可以或许会形成风险。 效劳1可以或许继承伪装成其他效劳的正当用户。

16. 效劳 N 将相应效劳1,就像它是用户的历程一样。

设置装备摆设了无束缚委派的效劳器终究可以或许运用转发的 TGT,不只可以或许接见收集合其他未被请求的效劳,而且可以或许实行进击,如 DCSync,若是它是一个域掌握器的 TGT的话。 你可在此阅读有关概况。 如你所知,滥用无束缚委派观点其实不是甚么新颖玩艺儿。 然则,同时异常风趣和蹩脚的是,进击者还可以或许经由历程双向信托设置在外部丛林中运用这类手艺。 丛林信托终究不再是平安界限。

更多关于”委派”的信息可以或许在威尔的文章”关于委派的另一个词”中找到。

甚么是丛林信托?

微软官方文档将信托界说为域之间竖立的一种干系,这类干系使得一个域中的用户可以或许经由历程另一个域中的域掌握器认证。 威尔还在他的”进击域信托指南”的文章中供应了关于域和林信托的更多信息。

信托范例

默许的信托

当向根域增加新域时,默许状况下会建立双向通报信托。

域渗入之在运动目次中征采: 不受限定的委派和林信托

其他信托

域渗入之在运动目次中征采: 不受限定的委派和林信托

为了这篇文章的目标,和相符威尔在他的文章中界说的进击思绪,我们将从防备的角度来看林的双向信托。 明白这一点异常主要,由于可以或许会有 Windows 平安事宜显现进击时期两个林之间的运动。

甚么是「打印机Bug」 ?

Lee 将打印机 bug 形貌为 Windows Print System Remote Protocol (MS-RPRN)中的一个老旧但默许启用的要领,具有域用户帐户的进击者可以或许运用 MS-RPRN RpcRemoteFindFirstPrinterChangeNotification (Ex)要领强制任何运转 Spooler 效劳的机械经由历程 Kerberos 或 NTLM 考证进击者挑选的目标。

甚么是[ MS-RPRN ]打印体系长途协定?

依据微软的官方文档,它基于长途历程挪用(Remote Procedure Call,RPC)协定,支撑客户机和效劳器之间的同步打印和配景处置惩罚支配,包孕打印功课掌握和打印体系治理。 另外,打印体系长途协定仅在定名管道上运用 RPC。 因而,我愿望看到源效劳器和目标效劳器之间经由历程端口445举行收集衔接。

Rpcremotefindfirstprinterchangenotification (Ex)做了甚么?

它可用于建立长途变动关照对象,该对象看管对打印机对象的变动,并向打印客户机发送变动关照。 在”打印体系变动关照”例子中运用的这类要领的一个例子可以或许在这里找到:

域渗入之在运动目次中征采: 不受限定的委派和林信托

Lee 的 POC 只实行前两个要领(RpcOpenPrinter 和 rpcremotefindfirstprinterchangenoticationex) ,并在关照要领返回非零 Windows 错误代码后住手。 目标(打印机效劳器)和客户机(无束缚效劳器)之间的初始衔接是”打印机 bug”事情所需的全部内容。 当实行 RpcOpenPrinter 要领时,它须要返回一个 ERROR success 值来跳转到关照要领,该要领预计会失利,而且具有特定的非零返回值。 Lee 的 POC 看管以下两个返回的 ERROR 值,并供应以下音讯:

· ERROR_ACCESS_DENIED: 目标效劳器试图举行身份考证,但接见被谢绝。 若是将身份考证强制到 NTLM 应战-相应捕获对象(比方 responder/inveigh/msf SMB 捕获) ,那末这是相符预期的,并注解强制身份考证有用”

· ERROR_INVALID_HANDLE: “实验打印机关照并收到无效句柄。 强制认证可以或许起作用了!”

我愿望这些内容有助于你在运转进击之前相识一些初始配景学问,并纪录可以或许的数据源,这些数据源可以或许资助我们考证威尔供应的新手艺变体的检测。

模仿进击转变

请求

双向信托的两个林

一个是已被入侵的林

· 带有不受限定的委派设置装备摆设的被入侵的效劳器(hygi.covertius.local)。 关于这个用例,进击者入侵了根域的域掌握器/目次(DC) ,并在零丁的林中对另一个 DC运用这台域控 。

一个是充任受害者的林

· 由于我们愿望充任受害者的林的 TGT 随后经由历程设置装备摆设无束缚的受权从已被入侵的 DC 实行 DCSync 进击,因而须要将一个域掌握器(rikers.cyberpartners.local)作为受害者

所需的对象

· Rubeus和SpoolSample 可用于设置装备摆设了无束缚委派的效劳器。

日记纪录:

· Windows 平安事宜日记已启用,纪录每一个事宜日记种别和子种别,由于我不想假定事宜只显现在特定的事宜种别或子种别。 在纪录进击天生的数据以后,我将供应须要启用哪些功用的择要。

我们在做甚么?

威尔在他的这篇文章中供应了一个很好的进击大图。 我喜好这张图片,由于它为每一步增加了一些详细的细节。

域渗入之在运动目次中征采: 不受限定的委派和林信托

设置装备摆设已被入侵的无束缚委派效劳器的步调

从提拔了权限的提醒符(cmd.exe)实行以下敕令,依据效劳器称号设置替代值:

Rubeus.exe monitor /interval:5 /filteruser:VICTIM-DC-NAME$

域渗入之在运动目次中征采: 不受限定的委派和林信托

预警| WebLogic Server曝高风险长途敕令实行0 day破绽

近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3

从另一个提醒(纷歧定要提拔权限),实行下面的敕令 :

SpoolSample.exe VICTIM-DC-NAME UNCONSTRAINED-SERVER-DC-NAME

域渗入之在运动目次中征采: 不受限定的委派和林信托

(若是第一步没有获得任何关于 Rubeus 提醒符的信息,你可以或许须要再次运转第二步。 我不克不及不运转 SpoolSample 两次,由于我没有获得任何东西。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Rubeus 应当捕获了来自受害者域掌握器的身份考证并导出了这台域控的 TGT。

域渗入之在运动目次中征采: 不受限定的委派和林信托

所需的数据源

域渗入之在运动目次中征采: 不受限定的委派和林信托

平安事宜序列

当地实行 Rubeus,并最先看管 rikers $Account 中的4624登录事宜。

域渗入之在运动目次中征采: 不受限定的委派和林信托

运用 hydrogen.covertius.local的账户 localadmin 实行 SpoolSample POC,并将目标效劳器设置为 rikers.cyberpartners.local,将捕获效劳器设置为 hydroxy.covertius.local。 换句话说,hydrogen 将强制 rikers 做认证。

域渗入之在运动目次中征采: 不受限定的委派和林信托

hydrogen.covertius.local 中的帐户 localadmin 运用 SPN CYBERPARTNERS.LOCAL 请求 Kerberos 效劳票证,用于衔接到其他林。 Kerberos 受权的发作是由于 SpoolSample 运用效劳器的 DNS 称号而不是效劳器的 IP 地点。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Hydrogen.covertius.local 经由历程 ldap 查询外部 DC rikers.cyberpartners.local

域渗入之在运动目次中征采: 不受限定的委派和林信托

Hydrogen.covertius.local经由历程88号端口(Kerberos)与 rikers.cyberpartners.local 举行通讯,以请求接见 rikers.cyberpartners.local的效劳单子。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Rikers.cyberpartners.local收到一个来自hydrogen.covertius.local的带有SPN rikers$ 的 Kerberos 效劳单子请求。

域渗入之在运动目次中征采: 不受限定的委派和林信托

帐户 localadmin 请求一个带有 SPN krbtgt 和单子选项0x60810010的 Kerberos 效劳单子。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Hydrogen.covertius.local 经由历程 SMB 端口445(Outbound)运用 MS-RPRN RpcOpenPrinter 要领启动与 rikers.cyberpartners.local 的通讯,以便从”打印机效劳器”(rikers)中检索打印机句柄。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Rikers.cyberpartners.local接收到一个来自 hydrogen.covertius.local 的localadmin 账户的胜利的身份考证。

域渗入之在运动目次中征采: 不受限定的委派和林信托

名为  IPC$的定名管道同享可以或许在 rikers.cyberpartners.local 上经由历程运用 covertius 域的 localadmin 举行接见,以便绑定到 spoolss 效劳。

域渗入之在运动目次中征采: 不受限定的委派和林信托

rikers.cyberpartners.local请求一个带有 SPN COVERTIUS.LOCAL 的 Kerberos 效劳单子,用于衔接回被入侵的林并经由历程设置装备摆设的不受限定的委派考证到效劳器(hygi.COVERTIUS.LOCAL)。 Kerberos 受权的发作是由于 SpoolSample 运用效劳器的 DNS 称号而不是它的 IP 地点。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Rikers.cyberpartners.local查询域控hydrogen.covertius.local。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Rikers.cyberpartners.local  经由历程端口88(Kerberos)竖立了到域控 hydrogen.covertius.local 的衔接。

域渗入之在运动目次中征采: 不受限定的委派和林信托

Hydrogen.covertius.local收到一个 Kerberos 效劳单子请求,该请求请求从 rikers$取得SPN hydrogen$ 。

域渗入之在运动目次中征采: 不受限定的委派和林信托

rikers.cyberpartners.local经由历程 445端口返回一个衔接到 hydroxy.covertius.local 作为打印机 bug 运动的一部分。

域渗入之在运动目次中征采: 不受限定的委派和林信托

当 riker$认证到 hydroxy.covertius.local 时,会发作 SID 过滤,由于 riker$在缺省状况下与其他域控一样,是企业域掌握器组(SID Enterprise Domain Controllers (S-1-5-9))的一部分。 一些分外信息: 微软官方文档。

域渗入之在运动目次中征采: 不受限定的委派和林信托

帐户 localadmin 请求了一个带有 SPN krbtgt 和 单子选项0x60810010的 Kerberos 效劳单子。 由于委派的存在,我们可以或许看到当地治理员看起来像是来自10.7.30.100(rikers server)这台效劳器。

域渗入之在运动目次中征采: 不受限定的委派和林信托

hydrogen.covertius.local 收到了一条来自 rikers.cyberpartners.local 的 rikers$ 账户的胜利认证请求。 这确认 rikers$被强制经由历程不受限定的委派设置装备摆设考证到了我们的效劳器。

域渗入之在运动目次中征采: 不受限定的委派和林信托

由于委派的存在,当地治理员也胜利地登录到了域控hydrogen  (它本身) ,但源 IP 值被设置为了 rikers 的 IP 地点。

域渗入之在运动目次中征采: 不受限定的委派和林信托

特别权限分配给了新的登录会话。

域渗入之在运动目次中征采: 不受限定的委派和林信托

名为 IPC$的定名管道同享可以或许在 hydroxy.covertius.local 上由 rikers.cyberpartners.local 机举行接见,以便绑定到客户机上的 spoolss 效劳。 须要指出的是,接见 IPC$的帐户是来自 COVERTIUS域的当地治理员,而不是 rikers$(委派)用户。

域渗入之在运动目次中征采: 不受限定的委派和林信托

一旦 Rubeus 捕获到从 rikers$到 Hydrogen的4624登录事宜,它将提取 rikers$的TGT。 它起首运用一个助手顺序(helper)竖立到 LSA 效劳器的衔接,并考证挪用者是不是是登录运用顺序。 若是第一步失利,那末多是运转 rubeus 的用户没有猎取到 LSA 句柄的恰当权限。 现实也就是如许的:

域渗入之在运动目次中征采: 不受限定的委派和林信托

一旦失利,Rubeus 运用本身的 GetSystem 函数经由历程令牌模仿将当地治理帐户提拔到 SYSTEM。 然后,它将再次实验实行,如今它就可以或许取获得 LSA 句柄并实行 Kerberos 单子罗列。

域渗入之在运动目次中征采: 不受限定的委派和林信托

作为 LSA 句柄的一部分,Rubeus 用3″SSS”注册了登录运用顺序名——”User32LogonProcesss”。 准确的称号应当是 User32LogonProcess,它是微软官方文档中 LsaRegisterLogonProcess 函数的 LogonProcessName 参数的一个示例。

域渗入之在运动目次中征采: 不受限定的委派和林信托

到目前为止,没有其他事宜发作。 进击接下来能做甚么取决于它们愿望运用提取的 TGT 完成甚么。 这篇文章的目标是纪录在实行威尔的文章中所提到的进击要领的主要步调中发作的平安事宜。

开端检测发起:

Rubeus

· Rubeus 是可以或许在磁盘上实行的观点证实(POC),因而你可以或许基于敕令行参数构建基础署名。 请记着,敕令行的值具有很高的进击影响品级,这意味着敕令参数可以或许被进击者支配,如许就可以或许轻松地绕过原始参数的署名。

· 在纪录事宜日记时,当 Rubeus 枚举 Kerberos 单子时,发现了一个 Rubeus 署名的入侵检测目标。 这个历程触及到在猎取 LSA 句柄时登录历程的运用顺序称号。 Rubeus 注册以下称号: User32LogonProcesss (是的,末了有三个”s”)。 在平安事宜4611中,这应当会马上显现在你的状况日记中。 另外,纵然拼写准确,”User32LogonProcess”也不像其他登录运用顺序称号(如 Winlogon)那样罕见,因而值得对此举行监控。

· 另一种检测 Rubeus 的要领是将注意力集合在它更广泛的行动上。 当 Rubeus 实验猎取 LSA 句柄时,若是它运用的帐户没有设置 SeTcbPrivilege 特权,那末它挪用 LsaRegisterLogonProcess 特权效劳时就会失利。 搜检平安事宜4673中非体系用户正在挪用的特权效劳和审计失利纪录。

不受限定的委派和双向信托丛林

进击的这类特定变体迫使域掌握器经由历程双向林信托设置装备摆设的不受束缚的委派考证到了被入侵的效劳器。 因而,正如我们在这个事宜序列中看到的,希冀无束缚效劳器上的 SID 挑选事宜(平安事宜4675) ,运用挑选的 SID 婚配企业域掌握器(S-1-5-9)。

· 猎取一个设置装备摆设了无束缚委派的效劳器列表,并对平安事宜 4675的每一个实例举行堆叠。

· 经由历程 SID S-1-5-9过滤效果。 你将从其他林取得有关多个域控的通讯(潜伏受害者或通例行动)。

· 你还可以或许堆叠由 Tdo (可托域对象) 域sid 举行的第一次聚合所取得的值。 这将通知你特定的可托域的 sid 经由历程双向信托与潜伏的不受限定的效劳器举行了通讯。

看管胜利的收集登录(范例3)发作在效劳器上,无束缚的委派设置装备摆设来自域掌握器”dcname$”,它属于跨自力林的外部域。

SpoolSample

· Spoolsample 对象的检测异常直接清楚明了。 你可以或许运用平安事宜5145看管接见名为IPC$的管道同享的无束缚委派效劳器,以便经由历程域掌握器绑定到零丁域中的配景效劳。 请记着,除 SpoolSample POC 以外,另有其他 RPC 效劳器可以或许用于强制身份考证。 因而,从不受限定的效劳器上经由历程 IPC$寻觅对 spoolss 效劳的接见只触及这类进击要领的完成。

我愿望这篇文章可以或许资助那些刚刚从我的队友威尔那边读到的”非平安界限: 损坏丛林信托”的博客文章的读者,而且愿望相识更多关于进击实行时在端点级天生的大部分数据。 本文仅触及一个端点数据源。 我将很快用更多的端点和收集数据源更新这篇文章,为此次进击增加更多的上下文。 另外,进击者决议运用 DC TGT 做的事变是为其他几篇文章供应内容。

末了,正如我在前面的文章中提到的,像如许的匹敌性技巧不会在抱负天下中发作。 因而,由于在特定状况中天生了大批相似的运动,你可以或许没法经由历程看管引荐的几个事宜来捕获它们。 然则,在实行 DCSync 或其他一些要领时,你可以或许会在建立新历程并将票证导入到新的登录会话时捕获到一些事宜。

我想谢谢威尔对我的耐烦指点,谢谢他回覆了我在写这篇文章时碰到的一切题目。 更多的更新检测要领和进击的转变将很快会增加到我的博客中。

预警| WebLogic Server曝高风险长途敕令实行0 day破绽

近日,阿里云安全团队监测到,由国家信息安全漏洞共享平台(CNVD)收录的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)被攻击者利用,在未授权的情况下可远程执行命令。该漏洞曾经因为使用HTTP协议,而非t3


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明域渗入之在运动目次中征采: 不受限定的委派和林信托
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址