域常见攻击方法

in 抛砖引玉 with 0 comment

域常见攻击方法

0x00 前言

攻击者可以通过许多方式获得Active Directory中的域管理员权限。这篇文章是为了描述目前使用的一些比较流行攻击技术。
这里是假设攻击者已经拥有内部系统的一些权限。

0x01 攻击域的一般流程

  1. 域信息收集
  2. 获取域权限
  3. dump域hash
  4. 域控权限维持
  5. 定向打击目标

一. 域信息收集

  1. 判断当前计算机是否在域内
    简单的方法是 net time /domain
    Screen Shot 2018-05-18 at 10.48.50 AM.png

这里域名为ad.com 域控名为dc
如果不存在域,就会是如下图所示找不到域.
Screen Shot 2018-05-18 at 10.55.24 AM.png

不一定准确,如果是域内主机但是当前shell不是域用户权限就会没有权限.

最准确的方法是net config workstationsysteminfo

Screen Shot 2018-05-18 at 11.02.39 AM.png

systeminfo:

Screen Shot 2018-05-18 at 11.09.47 AM.png

ps:这两个命令和当前用户权限无关,只要机器在域内
需要注意的是域名有两种表示,一种是ad.com,一个是ad 前者是完整的dns名,后者是NetBIOS名

如果存在域,我们就需要获取域内各种信息。一般渗透一个域会存在两种情况,一种是拿下域内计算机,另一种是拿到了一个域内用户账户,可以通过其他方式如VPN连接内部网络访问到域控制器,但没有域内计算机权限。

(1). 域内计算机

可以使用一些win自带的命令获取基本信息
net group /domain #获取域所有用户组
net group "domain admins" /domain #获取域管理员
net group "enterprise admins" /domain #获取企业管理员
net localgroup administrators /domain #获取域内administrators组用户,权限和域管理员与企业管理员一样.
net group "domain controllers" /domain #获取域控制器
net group "domain computers" /domain #获取所有域成员计算机
net user /domain #获取所有域用户
net user 指定用户 /domain #获取指定用户的信息
net accounts /domain #获取域密码策略
nltest /domain_trusts #获取域信任信息

只能获取一些基本的信息而不能获取到操作系统版本等详细信息.这时候要获取到详细的信息就需要一些查询和管理AD的工具.微软官方的查询工具有
dsquery/dsget,ldifde,csvde,adexplorer 第三方的有adfind,除了这些还可以使用wmi和powershell来查询.

二. 获取域权限

  1. SYSVOL中的密码和Group Policy Preferences(GPP)组策略首选项
  2. MS14-068 Kerberos漏洞
  3. Kerberos TGS票据猜解
  4. 域用户凭证获取
  5. 永恒之蓝

三. dump域hash

四. 域控权限维持
五. 定位目标

0x02 域用户权限提升到域控管理

待续...

Responses