Search Results

这一小节，我们讨论 Kerberos 委派。委派解决了双跳问题，但是，攻击者也可以利用委派来获得代码执行以及横向移动到其他主机上。 出于教学目的，本小节将采取白盒的形式，即暂时跳过至委派利用之前的前置利用步骤，提供明文凭证 【非约束委派】 raven-med域中的mon01主机(admin:Passw0rdmon01) 【约束委派】 white-bird域中的 web02 主机，指定了 dc05 的eventlog和cifs服务，Administrator不可被委派。(Administrator:Pa...

MSSQL Microsoft SQL 服务器在 Active Directory 基础设施中很常见，不仅因为 MSSQL 服务器是 Web 应用程序常见的后端数据库服务器，而且还因为它可以与 Active Directory 和 Kerberos 认证无缝集成。在渗透测试或红队活动中，Microsoft SQL 服务器是攻击者的重点目标之一，原因是它通常存储着敏感数据，并且可以为攻击者提供对目标基础设施的访问。当 SQL 服务器集成到 Active Directory 环境中时，诞生了特定的攻击向量。 根据之...

在上一个章节，我们已经简单了解过了 ADCS 的概念、作用、以及简单的枚举。在这一节，我们侧重于 ADCS 相关的利用。在我们的 Lab 中，只有 Med-factory 域配置了 ADCS，我们可以在 Raven-med 森林中对 Med-factory 域的资源进行枚举。出于教学与学习目的，我们提供了 stg01 主机的本地管理员凭证以及对 ADCS 服务具有特定权限的用户 med-factory\justin 的凭证。 stg01\Administrator:Passwordstg01 med-facto...

在 AD 环境中进行渗透测试时，GPO 对我们来说会是一个具有吸引力的目标。如果我们对 GPO 具有修改权限或更高权限，我们就可以攻陷其他用户并获得远程代码执行或/和横向移动，以及持久化访问。 以下屏幕截图显示了 PROD 域 中的所有 GPO。 在开始枚举和利用之前，让我们熟悉一些有关 GPO 的术语。 概念与术语 组策略 组策略是 Windows 操作系统的一项功能，用于控制用户和计算机帐户的工作环境。 组策略在 Active Directory 环境中提供操作系统、应用程序和用户设置的集中管理和配置。 ...

随着我们拿下越来越多的用户和主机，我们发现其中一些主体对其他域对象具有特定权限。例如，其中一个用户可以直接重置另一个用户的密码。 如果有意地利用这些权限，我们可以接管更多用户实现域内提权和横向移动。为了理解这种攻击，我们需要知道 DACL 的概念。在 AD 的上下文中，DACL 是访问控制条目 (ACE) 的列表，它指定允许或拒绝哪些用户或组访问特定资源，例如计算机、SMB 共享或用户帐户 . DACL 作为对象的属性存储，用于对对象实施访问控制。 DACL 中的每个 ACE 指定了授予或拒绝特定用户或组的访问权...

在之前的内容中，我们接触到了多种类型的凭证，包括了明文密码、NTLM 哈希、AES 256 密钥、NetNTLM 等。掌握明文密码显然是一项优势，然而，我们不是总能获得明文密码的，更多时候我们会得到 NTLM 哈希。如果用户设置了强密码，我们就无法破解 NTLM 哈希并快速恢复明文密码，但幸运的是，与许多其他类型的哈希不同，我们可以通过多种方式利用 NTLM 哈希进而实现认证。  NTLM 我们之前讨论过了 Kerberos 身份认证，它是 NTLM 身份认证的后继者。Kerberos 认证是基于票据的，而 N...

安全帐户管理器 (SAM) 数据库以 NTLM 哈希格式存储本地 Windows 凭证。在本地登录期间，用户输入密码后，本地安全机构 (LSA) 通过根据存储在 SAM 中的数据验证凭证来验证登录尝试。当输入的密码的哈希与 SAM 中的 NTLM 哈希匹配时，登录成功。当我们在主机上得到了提升特权，我们就可以通过多种方式从 SAM 中提取凭证。在域环境中，本地帐户的凭证对我们来说可能看起来不那么令人兴奋。但是，考虑到密码重用的可能性，如果我们获得主机上本地管理员帐户的 NTLM 哈希或明文密码，域用户可能会在另一台...

在上个小节讨论 LSA 机密的时候，提及了一下 LSA，即本地安全机构。在 Windows 上，有这么一个进程 lsass.exe，绝对是攻击者的首要攻击目标之一。虽然我们中的一些人知道可以从 lsass.exe 提取凭证，但 LSASS 本质上是什么呢，与 LSA 的联系又是什么呢？让我们先搞清楚这些。 名词与概念 本地安全机构 (LSA) 和本地安全机构子系统服务 (LSASS) 是 Windows 操作系统中处理安全和用户身份认证的密切相关组件。 本地安全机构 LSA 是 Windows 操作系统的一...

LSA，即 Local Security Authority，本地安全机构，是 Microsoft Windows 操作系统中安全子系统的核心组件。本地安全机构 (LSA) 负责管理系统的交互式登录、给用户分发安全访问令牌、实施本地安全策略等。 而LSA 机密是 Windows 中本地安全机构 (LSA) 使用的存储。 LSA 的目的是管理系统的本地安全策略，根据定义，这意味着它将存储有关用户登录、用户身份验证及其 LSA 机密等的私人数据。只有 SYSTEM 权限才可以访问 LSA 机密。LSA 机密所存储系统...

注：本小节作为知识拓展，因为本 Lab 环境版本远高于 GPP 密码盛行的版本，因此尚未集成此内容。 为了阻止针对本地管理员密码的攻击，Windows曾经引入了 组策略偏好 Group Policy Preferences，即中心化管理本地管理员的密码。其具体做法是将加密后的密码以 XML 文件的形式保存在所有域主机都可访问的 SYSVOL目录下。 XML 文件中保存的密码经过了 AES-256 加密的，然而微软之前意外地将 AES 私钥放在了 MSDN 上 (https://learn.microsoft...

NTDS.DIT 文件是域控制器上存储 AD 数据的数据库，包含了域内对象的所有信息，例如用户，组，计算机，以及其他对象。更重要的是，该文件还存储域中所有用户的密码哈希，包括域管理员的。该文件位于 C:\Windows\NTDS\ntds.dit。 在获得特定权限后，我们可以通过以下方式利用： 复制 NTDS.DIT 文件 在获得了域管理员之后，我们可以在域控制器上复制 NTDS.DIT 文件。但是类似于复制 SAM 数据库，因为 NTDS.DIT 在被实时使用，因此是被锁定的状态。我们依旧可以通过卷影拷...

Pass The Hash，即哈希传递，是一种可以让我们使用 NTLM 哈希对 Windows 服务进行认证，而无需明文密码的技术。在上一个小节，我们讨论了如果只有 NTLM 哈希，要实现用户模仿该怎么做的时候有提到 PTH，在这一小节我们继续延伸和补充一下。 我们之前讲过 NTLM 认证的步骤，让我们再来回顾一下： 哈希传递认证可以跳过上图中的第一步，通过使用例如 Mimikatz 之类的工具实现。需要注意的是，哈希传递攻击仅可以用于 NTLM 认证，而非 Kerberos 认证。一些安全工具，例如 Im...

Overpass The Hash，又称为 Pass The Key，密钥传递，是 PTH 的一种延伸，我们通常在 NTLM 认证被禁用、只有 Kerberos 认证可用的情况下使用。相比与 PTH 直接用 NTLM 哈希进行认证，OTH 认证通过目标用户的 NTLM 哈希 或者 AES 密钥申请对应的 TGT 或者 TGS，从而访问相应的主机或者服务。 AES 密钥是什么呢？我们在 mimikatz 终端里执行命令 sekurlsa::ekeys，我们可以提取出 AES 密钥。 在申请 TGT的时候，我们...

票据传递技术类似于密钥传递技术，只不过相比使用密钥，用的是票据。在讲解 PTT 之前，我们先来了解一下在 Windows 与 Linux 平台上有关域凭证的文件，它们可以通过工具实现互相转换。 kirbi 我们通过 Mimikatz 或者 rubeus 请求与导出的 TGT 或者 TGS票据格式为 kirbi。对于 Mimikatz，我们可以使用命令 sekurlsa::ticket /export 导出所有票据，格式为 kirbi。  如果使用 Rubeus，可以使用 rubeus.exe dump...

为了进一步保护本地管理员的凭证，本地管理员密码解决方案 (LAPS) 是一种用于管理域主机上的本地管理员凭证的解决方案。 本地管理员帐户可以是默认帐户或自定义帐户。部署 LAPS 后，密码是随机的、自动更改的，并且与其他帐户的密码不同。在域计算机上安装 LAPS 后，计算机会多出两个属性 ms-mcs-AdmPwnExpirationTime 和 ms-msc-AdmPwd，分别是过期时间和明文密码。 LAPS 通过域中的 GPO LAPS 进行管理。 域管理员对 ms-msc-AdmPwd 属性具有读取权限，但可...

注：本小节作为知识拓展，本 Lab 尚未集成此内容。 gMSA，即组托管服务帐号，提供了对分布在多台服务器上的服务帐号的自动化的密码管理、SPN管理、以及委派管理权。使用 gMSA 有助于防御 Kerberoast 攻击。包含密码信息的 blob 被存储在 gMSA 的属性 msds-ManagedPassword 中。只有特定的主体可以读取密码 blob，默认情况下即便是域管理员也无法读取。 因为 gMSA 具有 msDs-GroupManagedServiceAccount 的对象类，因此我们可以轻松找到。...

DPAPI，即数据保护应用接口，是一个提供加解密数据块的 Windows组件。它使用与指定用户或主机绑定的密码学密钥并且允许原生 Windows 功能以及第三方应用来透明地保护/解除保护给用户的数据。DPAPI 被 Windows 凭证管理器所使用于储存保存的秘密，凭证管理器数据块存放于用户的 AppData 文件夹中。 那么，DPAPI 保护哪些呢？例如： Internet Explorer、Google Chrome 中的密码和表单自动填充数据 Outlook、Windows Mail、Windows M...

随着凭证导出被攻击者的滥用，微软也开发出了相应的防御措施，例如 PPL。对于 IT 管理员，PPL 非常容易部署，是一个 quick-win。虽然 PPL 是可以被绕过的，但还是给导出凭证的操作增添了额外的难度。我们之前说过，Windows 有 4 种完整度等级，而 PPL，则是更高级的，这意味着即便是 SYSTEM 权限也无法访问被 PPL 保护的进程，而 lsass 支持 PPL保护。我们可以在注册表的如下位置添加 RunAsPPL 从而启用 PPL。 对于启用了 PPL 的主机 SRV01，无论是用 n...

Windows Defender Credential Guard 凭据保护 是一种虚拟化安全技术以防止 NTLM 哈希、Kerberos 票据、应用程序所存储的凭证的窃取进而组织。开启了凭据保护的主机，会分别有 Lsass.exe 进程以及 LsaIso.exe 进程。 凭据保护使用基于虚拟化的安全性 (VBS) 来隔离机密。VBS 利用硬件虚拟化功能创建一个安全的内存区域，该区域与普通操作系统分开。要了解攻击者在处理凭据保护时面临的挑战，可以参考在一个虚拟机内运行的正常操作系统和在另一个具有单独内核的虚拟机内...

在之前的内容中，我们已经使用了一些代理与跳板的技术，用于访问靶场内部的主机，这是因为除了边界主机 Web01 以及 Web02 外，我们不能直接访问到其他主机。为了推动攻击的流程，我们只是讲了特定命令，例如 socks 的用法，但并没有阐述其概念、原理，以及为什么我们需要它。尽管这些也并不是晦涩深奥的话题，但这个章节我们正式讨论各种不同的代理与跳板技术，以在内部灵活地漫游。 SOCKS Socks 代表“Socket Secure”，它是一种通过代理服务器在客户端和服务器之间路由网络数据包的 Internet ...