Active Directory域渗入渗出之白银票证后门 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Active Directory域渗入渗出之白银票证后门

本文的内容形貌了一种要领,经由历程该要领,进击者可以或许在拿到域治理级别的权限约5分钟后,便可耐久的对Active Directory的治理停止接见。

这篇文章将讨论进击者怎样应用盘算机帐户凭证来耐久的接见和控制企业内网,和企业怎样减缓这类潜伏的平安题目。

盘算机帐号

到场Active Directory(AD)的每台盘算机在AD中都有一个联系关系的盘算机帐户。AD中的盘算机帐户是一个平安主体(与用户帐户和平安组相反),因而它具有与用户帐户一样多的属性(包孕平安标识符(SID),memberOf,lastlogondate,passwordlastset等。盘算机帐户可以或许属于平安组,并且一般由于种种缘由,最罕见的是用于组战略过滤,以便某些组战略仅实用(或不实用)于特定的盘算机组。

盘算机帐户暗码在盘算机到场域时进初始设置,并以与用户暗码大抵相反的体式格局停止身份验证。分歧的是,盘算机的暗码没必要活期变动,以便盘算机可以或许在域中停止身份验证(与用户帐户分歧)。有一个设置可以或许设置装备摆设盘算机的帐户暗码“应当”多久停止一次变动,域中的盘算机一般会每隔30天变动其盘算机帐户暗码(默许状况下)。也就是说,这个门坎是可以或许转变的,用来转变盘算机帐号暗码的历程可以或许完全被禁用。

盘算机帐户暗码的变动更相符一些划定规矩,我之前曾经宣布了关于怎样运用盘算机帐户暗码在体系中提拔权限。然则,在这篇博文中我没有涵盖本文中讨论的其他角度。

默许状况下,盘算机帐户是“域盘算机”AD组的成员,并且是为了组战略治理的目的,一般将其增加到了Active Directory组,只管另有其他缘由可以或许会将盘算机帐户增加到AD组。

盘算机组中盘算机的罕见示例:

  • 域控制器是“域控制器”组的成员。

  • 只读域控制器(RODC)是“只读域控制器”组的成员。

  • Exchange效劳器一般是分歧Exchange AD组的成员,比方“Exchange Server”。

把盘算机作为***?

一个不言而喻的题目是“***组中的盘算机的影响会是甚么?”

当盘算机经由历程Kerberos在域中停止身份验证时,就会建立一个票证或令牌,个中包罗盘算机的SID和盘算机所属的平安组的一切SID,就像用户登录时一样。这意味着经由身份验证的盘算机对域或林中的资本具有与属于同一个组的成员的用户相似的权限。若是盘算机帐户在***组中,则盘算机帐户就具有了***权限,并且该盘算机上的任何***都可以或许取得相反的权限。

盘算机帐户可以或许具有更高的资本权限,包孕Active Directory的完全***权限。

盘算机怎样应用这些权限或接见权限?

盘算机中的SYSTEM帐户“具有”包罗这些权限的SID具有的票证或令牌(从技术上来讲“SYSTEM”并非帐户,只是实用于此形貌罢了)。任安在盘算机上具有(当地)治理权限的人都可以或许将其权限的上下文改成“SYSTEM”   ,以便有效地控制盘算机帐户在AD中的权益。Mimikatz供应了在体系上抓取一切Kerberos票证和令牌的才能,因而重用这些票证终究应用这些权限将是一件眇乎小哉的大事。

请注意,具有权限的盘算机帐户与效劳帐户之间的功用差别与存储在作为效劳运转的体系上的凭证的权限有关。若是体系遭到要挟,这两个都邑致使凭证泄漏。然则,效劳帐户的治理体式格局与盘算机帐户完全分歧,在大多数状况下运用效劳帐户更好一些。

特权晋级

进击者可以或许简朴的将权限从盘算机上的***权限提拔到域中的权限,由于盘算机的帐户曾经到场到了***组中。

比方,若是治理效劳器到场到具有域控制器的备份权限的组中,则一切进击者都须要做的是入侵具有该治理效劳器权限的***帐户,然后在该治理效劳器上猎取体系权限就拿下了全部域。

明显,这个事变必须有几个事变要做:

1.修正***权限的帐户到治理效劳器。

2.治理效劳器盘算机帐户须要域控制器的权限。

依据我的小我私家履历和他人的履历,我发明这是不仅仅是一个可以或许的状况,并且在很多企业构造的内网中确切可以或许做到。

请注意,另有其他几种要领可以或许应用与这类相似的场景,这并非独一的潜伏进击体式格局。

破绽应用与权限耐久化

域控制器白银票证

若是进击者曾经转储了Active Directory数据库或许是曾经取得了域控制器盘算机帐户暗码的一些学问,那末进击者就可以或许运用Silver Tickets(银票)针对域控制器的效劳拿到***权限,并在Active Directory中拿到完全的***权限。

一旦进击者取得域控制器盘算机帐户的学问,这些信息就可以或许用于建立一个Silver Tickets(银票),从而在该DC中拿到久长的***权限。

盘算机主机效劳,最罕见的一个是应用“cif”效劳的Windows文件同享。由于盘算机自身承载此效劳,建立银票所需的暗码数据是相联系关系的盘算机帐户的暗码哈希。当盘算机到场Active Directory时,将建立一个新的盘算机帐户工具并将其链接到盘算机。暗码和联系关系的哈希存储在具有该帐户的盘算机上,并且NTLM暗码哈希存储在该域的域控制器上的Active Directory数据库中。

若是进击者可以或许取得盘算机的***权限(主要是为了取得调试接见权限)或许可以或许以当地SYSTEM权限运转代码,则进击者可以或许运用Mimikatz从体系直达储AD盘算机帐户暗码哈希(NTLM暗码哈希用于加密RC4 Kerberos票证):Mimikatz“privilege :: debug”“sekurlsa :: logonpasswords”exit

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

为DC建立一个Silver Ticket就可以或许经由历程PowerShell近程衔接以***权限接见域控制器了

为“ http ”效劳和“ wsman ”效劳建立银票,以取得目的体系上的WinRM和或PowerShell Remoting的***权限。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

注入两个Silver Tickets(http&wsman) 后,我们可以或许运用PowerShell Remoting(或WinRM)衔接目的体系翻开一个shell(假定设置装备摆设了PowerShell Remoting和/或WinRM)。New-PSSession是PowerShell的一个 cmdlet,用于运用PowerShell建立一个近程体系的会话,Enter-PSSession可以或许进入近程shell。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

建立DC的银票可以或许运用***接见权限衔接到域控制器的LDAP并运转DCSYNC。

为“ ldap ”效劳建立银票,以取得目的体系(包孕Active Directory)上的LDAP效劳的***权限。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

依附LDAP银票,我们可以或许运用Mimikatz并运转DCSync 从 DC “复制”凭证。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

经由历程盘算机帐户完成权限耐久控制

假定一个进击者可以或许拿下该域,一个连结域权限的要领是增加一个盘算机帐户(或包罗盘算机的组),以便能有权限对Active Directory停止耐久控制。

这类要领是双交织的:

1. 在许可接见该体系的情况中拿下***或备份效劳器上的盘算机帐户暗码(禁用盘算机帐户暗码更新以确连结续接见)。

2. 从该效劳器的盘算机帐户委派权限(或含有盘算机账户的组)到主要的AD组件。

应用盘算机帐户停止AD延续控制的另外一种要领是将盘算机帐户放在具有其他帐户的特权组中。这是一个罕见的例子:有一个名为“AD备份”的组,个中有一个名为“svc-backup”的效劳帐户。

当罗列域***组的组成员身份(其具有完全的AD***权限和域中的域控制器的完全***权限)时,我们看到包罗“AD备份”组。这是一个很罕见的设置装备摆设,只管作为域***的成员会有些蹩脚。幻想状况下,备份组或效劳帐户只能是域中的“备份操纵组”的成员,以备份AD域的数据。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

进击者将拿到的盘算机帐户增加到“AD备份”组中,不实行任何操纵。ADSAP01盘算机帐户现在为进击者供应了域和一切域控制器的完全***权限,并可以或许随便运转Mimikatz的DCSync,以便可以或许抓取任何帐户的暗码数据。

Active Directory域渗入渗出之白银票证后门 Active Directory域渗入渗出之白银票证后门

减缓步伐

减缓此题目的最简朴的要领是确保没有盘算机帐户是属于治理组的成员。制订此战略并经由历程活期搜检盘算机帐户的***组来实行此战略。
运用PowerShell停止扫描是异常简朴的,由于须要完成的一切操纵都是运用称号(或相似于你的情况中定制的关键字)中的“admin”关键字搜刮一切组,并符号objecttype =’computer’的任何成员。

这是一个疾速完成的PowerShell剧本(须要Active Directory PowerShell模块),将查找“***”组,并将为具有盘算机帐户成员的组做符号。

Import-Module ActiveDirectory
$AdminGroupsWithComputersAsMembersCountHashTable  = @{}
[array]$DomAdminGroups = get-adgroup -filter {Name -like “*admin*”}
[int]$DomAdminGroupsCount = $DomAdminGroups.Count
Write-Output “Scanning the $DomAdminGroupsCount Admin Groups in $ForestDomainItem for computer accounts as members”
ForEach ($DomAdminGroupsItem in $DomAdminGroups)
{
[array]$GroupContainsComputerMembers = Get-ADGroupMember $DomAdminGroupsItem.DistinguishedName -Recursive | Where {$_.objectClass -eq ‘computer’} $AdminGroupsWithComputersAsMembersCountHashTable.Set_Item($DomAdminGroupsItem.DistinguishedName,$GroupContainsComputerMembers.Count)
[int]$DomainAdminGroupsWithComputersCount = $DomainAdminGroupsWithComputersCount + $GroupContainsComputerMembersCount
}
Write-Output “$DomainAdminGroupsWithComputersCount Forest Admin groups contain computer accounts”
$AdminGroupsWithComputersAsMembersCountHashTable

PowerView现已集成到了PowerSploit中,包孕资助辨认***组中的盘算机账户的功用:

Get-NetGroup -AdminCount | Get-NetGroupMember -Recurse | ?{$_.MemberName -like ‘*$’}

另外一个减缓步伐是确保一切盘算机帐户的暗码每30 – 60天变动一次,特别是效劳器(域控制器!)。

参考资本

  • 域成员:禁用盘算机帐户暗码变动

  • 域成员:盘算机帐户暗码的最长逾期时候

  • 怎样检测和删除不活泼的盘算机帐户

  • 怎样禁用盘算机帐户暗码主动变动

  • Microsoft      Blog AskDS:盘算机帐户暗码流程

  • 关于Active      Directory中的到场域的盘算机账户暗码的一些其他现实…

  • Microsoft KB 327825:怎样禁用盘算机帐户暗码主动变动

  • 盘算机帐户复制对域的影响

  • 帐户暗码和战略

  • 盘算机帐户(AD盘算机工具)暗码更新

  • 进击者怎样运用Kerberos      Silver Ticket来进击体系

  • 运动目次权限耐久控制技能

  • Mimikatz非官方指南和敕令参考

本文翻译自:https://adsecurity.org/?p=2753,如若转载,请说明来源于嘶吼: http://www.4hou.com/technology/4622.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Active Directory域渗入渗出之白银票证后门
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址