2022域滲透從?入?門防護(hù)

域滲透從入門防護(hù)手冊前期準(zhǔn)備前言本系列在于從簡單的Windows域環(huán)境搭建到利用域的特性，通過哈希傳遞攻擊、憑證竊取技術(shù)結(jié)合互聯(lián)網(wǎng)公布現(xiàn)成的安全研究工具，進(jìn)行域橫向移動(dòng)滲透，最終到達(dá)我們目標(biāo)，拿到ad域控制?權(quán)限。實(shí)驗(yàn)環(huán)境設(shè)置下面列出本次實(shí)驗(yàn)環(huán)境計(jì)算機(jī)跟練習(xí)中的一些配置設(shè)置，均在VMWARE下完成。我們的域名將被命名為公司，因此創(chuàng)建域，然后將這些PC電腦加入域，let’sgo!本次實(shí)驗(yàn)環(huán)境一共有三臺(tái)電腦，一臺(tái)AD域控制?DC，另外兩臺(tái)員工PC。系統(tǒng)ISO下載地址:/WindowsServer2012(DC1)修改計(jì)算機(jī)名修改IP地址服務(wù)?管理?—角色—添加AD一路下一步，到服務(wù)?角色選擇ActiveDirectory域服務(wù)，添加功能繼續(xù)一路下一步，到指定備用源選擇自己WindowsServer2012R2的安裝光盤位置路徑，這里我的光盤路徑是D:\source\sxs，指定完后確定，點(diǎn)擊安裝安裝AD域控制?回到我們服務(wù)?管理?界面，點(diǎn)擊輸入一個(gè)符合復(fù)雜度的密碼，點(diǎn)擊下一步。域數(shù)據(jù)存放位置一路下一步，安裝。Windows7(Admins-PC/Victims-PC)另外兩臺(tái)PC配置類似設(shè)置計(jì)算機(jī)名設(shè)置IP地址加入域控兩臺(tái)機(jī)?加入完域后，必須重啟計(jì)算機(jī)。關(guān)閉防火墻重啟完電腦后，把所有防火墻關(guān)閉現(xiàn)在所有的電腦都加入了域，接下來我們添加一些賬號跟組到域環(huán)境當(dāng)中。域賬號設(shè)置在本次實(shí)驗(yàn)練習(xí)當(dāng)中，你將看到helpdesk幫助臺(tái)和域管理員之間進(jìn)行分離，但其實(shí)并沒有什么用，不足以防止憑證竊取。讓我們創(chuàng)建一個(gè)helpdesk組作為安全組進(jìn)行分離。組名成員描述HelpdeskPonyM用于管理域客戶端開始菜單->運(yùn)行>dsa.msc->容?Users->右擊新建->點(diǎn)擊組->輸入組名HelpDesk->確定或直接在域控服務(wù)?下以administrator權(quán)限輸入命令netgroupHelpDesk/add/domain進(jìn)行創(chuàng)建安全組HelpDesk讓我們在域中創(chuàng)建三個(gè)用戶姓名登錄賬號描述登錄機(jī)?JackMaJackM?創(chuàng)阿里Jack馬，是遭受釣魚郵件的受害者VICTIMS-PCPonyMaPonyM普通家庭Pony馬，是IT部門人員，同時(shí)也是”Helpdesk”安全組的成員。VICTIMS-PCADMINS-PCRobinLiRobinL再贏一次Robin李，是域管理員。ADMINS-PCAD域控制?依次按照以下步驟重復(fù)新建3個(gè)用戶Jackma/Ponyma/RobinLi-以及添加RobinLi到域管理員或直接在域控服務(wù)?下以administrator權(quán)限輸入命令netuserJackMpassword123!@#/add/domainnetuserPonyMpassword456!@#/add/domainnetuserRobinLpassword789!@#/add/domainnetgroup“DomainAdminis”RobinL/add最后創(chuàng)建了三個(gè)賬號以及一個(gè)安全組對了別忘記把PonyMa加入HelpDesk安全組右擊PonyMa屬性->隸屬于->添加->HelpDesk->確定或直接在域控服務(wù)?下以administrator權(quán)限輸入命令netgrouphelpdeskPonyM/add/domain我們的域管理員RobinLi日常使用ADMINS-PC。其中Helpdesk（PonyMa是其中一員）可以管理ADMINS-PC的計(jì)算機(jī)。搜索對應(yīng)組輸入域賬號密碼，確定接著JackMa以及HelpDesk將被添加到他的個(gè)人終端電腦（VICTIMS-PC）管理員權(quán)限本次實(shí)驗(yàn)工具將在VICTIMS-PC電腦上安裝以下工具，文件存儲(chǔ)于Mimikatz:/gentilkiwi/mimikatz/releasesPowerSploit:/PowerShellMafia/PowerSploit/releasesPsExec:/en-us/sysinternals/downloads/psexecNetSess.exe:\h/freetools/tools/netsess/index.htm注意本次實(shí)驗(yàn)練習(xí)過程，需關(guān)閉防病毒軟件，這些工具僅供測試使用。另外相關(guān)的軟件源碼屬于開源的，攻擊者可以根據(jù)源碼，針對病毒庫內(nèi)特征碼進(jìn)行二次開發(fā)以躲避殺毒軟件的查殺。假設(shè)在我們的示例中，JackM是他自己的工作站的管理員。許多客戶端的用戶仍然以管理員權(quán)限運(yùn)行。在這種情況下，由于對手已經(jīng)在執(zhí)行滲透后操作的環(huán)境中擁有管理員訪問權(quán)限，因此無需進(jìn)行本地升級攻擊。但是，即使IT部門減少了使用非管理員帳戶的特權(quán)，也會(huì)執(zhí)行其他形式的攻擊（例如，已知的應(yīng)用程序1Day/NDay漏洞，0Day等）來實(shí)現(xiàn)本地特權(quán)提升。在這種情況下，我們的假設(shè)很簡單：對手在Victim-PC上實(shí)現(xiàn)了本地特權(quán)升級。正如我們將在下面討論的那樣，在我們的虛擬實(shí)驗(yàn)環(huán)境中，這是通過給JackM的IM通訊軟件發(fā)送一封魚叉式通告文件實(shí)現(xiàn)的。環(huán)境拓?fù)浣酉聛砦覀兊膶?shí)驗(yàn)環(huán)境跟以上拓?fù)鋱D一樣，我們域之間有通過組來進(jìn)行角色分離，接下來我們將模擬攻擊者進(jìn)行域內(nèi)橫向滲透，利用上面現(xiàn)有的工具接管整個(gè)域控。模擬HelpDesk幫助臺(tái)模擬常見的HelpDesk幫助臺(tái)場景，其中HelpDesk幫助臺(tái)成員PonyMa登錄到VICTIMS-PC，然后點(diǎn)擊開始菜單，切換用戶，切換至JackMa身份登錄，模擬特權(quán)用戶登錄此工作站上的憑證管理。我們可以選擇其他方式進(jìn)行模擬本次實(shí)驗(yàn)，比如創(chuàng)建批處理腳本進(jìn)行服務(wù)賬戶管理、計(jì)劃任務(wù)、RDP會(huì)話或者”runas”命令行。本地特權(quán)管理員在一天結(jié)束之內(nèi)，基本都會(huì)使用以上相關(guān)操作，這里我們選擇最快的方式進(jìn)行模擬這個(gè)過程。不要注銷或者重啟VICTIMS-PC，因?yàn)檫@會(huì)導(dǎo)致內(nèi)存清除PonyMa的憑證。計(jì)算機(jī)計(jì)算機(jī)上保存的憑證ADMINS-PCRobinLVICTIMS-PCJackMPonyM(由設(shè)置helpdesk場景引起)我們的實(shí)驗(yàn)環(huán)境已經(jīng)準(zhǔn)備好了，接下來我們來正式模擬攻擊者如何從一個(gè)最低權(quán)限的賬號橫向到域控制?。通過魚叉攻擊最近新冠病毒疫情原因，JackMa作為一名家長，時(shí)刻關(guān)注小學(xué)什么時(shí)候才正式開學(xué)，好把家里的”混世小魔王”趕快送去學(xué)校。這一天他在辦公室操作電腦，臨近下班，突然孩子班級家長QQ群里，班主任傳出來一份文件，JackMa當(dāng)時(shí)想都沒想，直接在公司的電腦打開連接，下載了文件，打開運(yùn)行。正式開始攻擊我們的游戲開始了，按照真實(shí)環(huán)境進(jìn)行模擬后滲透中攻擊者的活動(dòng)。偵察一旦攻擊者進(jìn)入到域環(huán)境中，偵察就開始了，在這個(gè)階段中對手花時(shí)間進(jìn)行研究域內(nèi)環(huán)境，進(jìn)行信息收集，枚舉安全組和其他活動(dòng)目錄對象，以根據(jù)獲取的信息繪制一個(gè)攻擊的路線圖。DNS協(xié)議偵察大部分攻擊者進(jìn)入域內(nèi)第一件事要做的就是嘗試接收DNS的所有內(nèi)容。行動(dòng)：DNS偵察在以JackM身份登錄的VICTIMS-PC上，攻擊者剛剛?cè)肭值腜C，以用戶運(yùn)行以下命令：nslookupls–d幸運(yùn)的是，我們的DNS配置為默認(rèn)阻止此DNS針對域進(jìn)行轉(zhuǎn)儲(chǔ)。但如果不當(dāng)?shù)呐渲脤?huì)導(dǎo)致DNS域傳送泄露漏洞，任何匿名用戶都可以獲取DNS服務(wù)?對應(yīng)域的所有記錄，直接把企業(yè)域內(nèi)基礎(chǔ)服務(wù)跟網(wǎng)絡(luò)架構(gòu)暴露，從而造成嚴(yán)重信息泄露，導(dǎo)致攻擊者可利用相關(guān)信息進(jìn)行下一步的滲透。目錄服務(wù)枚舉安全帳戶管理?遠(yuǎn)程協(xié)議（SAMR）為域中的用戶和組提供管理功能。了解用戶、組和權(quán)限之間的關(guān)系對于攻擊者來說非常重要。任何經(jīng)過身份驗(yàn)證的用戶都可以執(zhí)行這些命令。枚舉所有的用戶和組列舉用戶和組對攻擊者非常有用。知道用戶名和組名會(huì)很方便。作為一名攻擊者，你要盡可能多地收集信息，畢竟這是偵察階段。行動(dòng)：枚舉用戶和組使用JackM帳戶，登錄到VICTIMS-PC上，并嘗試使用以下命令拉取所有域用戶和組：netuser/domainnetgroup/domain這些操作都屬于普通用戶使用合法憑證可以進(jìn)行的操作，現(xiàn)在攻擊者已經(jīng)了解域中所有用戶和組信息。枚舉高特權(quán)用戶攻擊者現(xiàn)在同時(shí)擁有用戶列表和組列表。但知道誰在哪個(gè)組中也很重要，特別是對于企業(yè)管理員“EnterpriseAdmins”和域管理員“DomainAdmins”這樣的高特權(quán)組。我們就這樣…行動(dòng)：枚舉域管理員在VICTIMS-PC上以JackM的身份運(yùn)行以下命令:netgroup“domainadmins”/domain攻擊者現(xiàn)在擁有所有用戶和組，并知道哪些用戶屬于特權(quán)域管理員“DomainAdmins”組。攻擊者不會(huì)就此停止進(jìn)攻，他們知道企業(yè)管理員和域管理員之間沒有安全邊界，因此他們也會(huì)獲取企業(yè)管理員列表。行動(dòng)：枚舉企業(yè)管理員要獲取此企業(yè)管理員組的成員，請?jiān)赩ICTIMS-PC上運(yùn)行以下命令：netgroup“enterpriseadmins”/domain在企業(yè)管理員組中有一個(gè)帳戶不太有趣，因?yàn)樗皇悄J(rèn)設(shè)置，但攻擊者在JackM帳戶中獲取更多的信息，并已識別他們最想攻擊的用戶是誰。SMB會(huì)話枚舉攻擊者知道他們愿意為獲得最大的憑據(jù)而想妥協(xié)的人，但是他們并不完全知道如何對那些憑據(jù)進(jìn)行妥協(xié)，對叭？SMB枚舉可以為暴露這些非常有趣的帳戶的位置，給攻擊者提供精確的位置。所有經(jīng)過身份驗(yàn)證的用戶必須連接到域控制?以處理組策略（針對SYSVOL），從而使SMB枚舉成為攻擊者的重要工具。這使域控制?成為執(zhí)行SMB枚舉的主要目標(biāo)行動(dòng)：對DC執(zhí)行SMB會(huì)話枚舉若要枚舉連接到特定計(jì)算機(jī)的用戶，在這種情況下，請轉(zhuǎn)到VICTIMS-PC上的Netess本地保存的位置并運(yùn)行以下命令：NetSess.exe根據(jù)前面的信息我們已經(jīng)知道RobinL是域管理員，現(xiàn)在通過SMB會(huì)話枚舉，攻擊者得知RobinL的IP地址(1)橫向移動(dòng)僅需采取幾個(gè)步驟，您就已經(jīng)可以獲得很多信息。至此，目標(biāo)變成了您發(fā)現(xiàn)的IP地址：1（公開了RobinL的計(jì)算機(jī)憑據(jù)）。枚舉在內(nèi)存中的憑據(jù)Victim-PC不僅具有JackM的憑據(jù)，而且還有許多其他帳戶可能對攻擊者有用。我們來列舉一下Victim-PC上的內(nèi)存中憑據(jù)。幸運(yùn)的是，有一個(gè)用于此目的的工具：Mimikatz。行動(dòng)：從VICTIMS-PC轉(zhuǎn)儲(chǔ)憑據(jù)從VICTIMS-PC上以管理員權(quán)限運(yùn)行命令提示符，轉(zhuǎn)到保存Mimikatz的工具文件夾，并執(zhí)行以下命令：mimikatz.exe“privilege::debug”“sekurlsa::logonpasswords”“exit”>>c:\VICTIMS-PC.txt上面的命令將執(zhí)行Mimikatz，然后在內(nèi)存中獲取憑據(jù)。這個(gè)工具會(huì)把它寫進(jìn)一個(gè)名為“VICTIMS-PC.txt”的文本文件”.打開“VICTIMS-PC.txt”文件“看看你能找到什么。行動(dòng)：解析Mimikatz的憑證轉(zhuǎn)儲(chǔ)輸出使用記事本打開文件“VICTIMS-PC.txt“。如果你的文件，看起來不像這個(gè)例子，是因?yàn)椴煌拿艽a或使用的操作系統(tǒng)可能不同，以及默認(rèn)密碼策略設(shè)置為開/關(guān)。攻擊者找到了JackM的憑據(jù)，這將允許他們偽裝成JackM。攻擊者還發(fā)現(xiàn)了計(jì)算機(jī)帳戶，該帳戶與用戶帳戶一樣，可以添加到其他計(jì)算機(jī)的本地管理組和其他高權(quán)限安全組中。這在這種情況下并不有用，但你應(yīng)該始終記住，計(jì)算機(jī)帳戶也可以映射到其他地方的特權(quán)。攻擊者還發(fā)現(xiàn)了一個(gè)潛在的易攻擊的帳戶PonyM。記住，PonyM是在安裝階段登錄到受害者電腦的。那個(gè)憑證當(dāng)時(shí)暴露在內(nèi)存中的LSASS.EXE進(jìn)程中，Mimikatz給了攻擊者下一步進(jìn)攻的可能性。當(dāng)你針對域管理員或企業(yè)管理員中的用戶進(jìn)行枚舉時(shí)，PonyM沒有列出，但請記住，你現(xiàn)在可以訪問他的憑據(jù)。但是要注意的是，在某些情況下，這個(gè)Mimikatz轉(zhuǎn)儲(chǔ)憑證可能會(huì)顯示明文密碼，當(dāng)環(huán)境未更新或未配置為阻止WDigest時(shí)。最新的環(huán)境（Win8&Win10&Win&Service2012以上），遵循最佳實(shí)踐，將返回一個(gè)空密碼字段。最后，在使用PonyM的帳戶之前，讓我們看看它是否有任何價(jià)值。讓我們用那個(gè)帳戶做些信息收集。有關(guān)WDigest的更多信息，請參閱：/kfalde/2014/11/01/kb2871997-and-wdigest-part-1/行動(dòng)：對PonyM帳戶執(zhí)行信息收集在VICTIMS-PC的命令行中，執(zhí)行以下操作：netuserPonyM/domain攻擊者將得知PonyM是HelpDesk幫助臺(tái)的成員。PonyM的帳戶對攻擊者來說很有趣。但是，還需要進(jìn)一步的分析，以查看該帳戶是否在其他計(jì)算機(jī)上具有管理員權(quán)限。畢竟，使用它橫向移動(dòng)到另一臺(tái)計(jì)算機(jī)上卻發(fā)現(xiàn)它的權(quán)限比攻擊者已經(jīng)擁有的權(quán)限低是沒有意義的。行動(dòng)：枚舉遠(yuǎn)程計(jì)算機(jī)的成員身份這里使用的工具是PowerSploit，滲透測試人員使用的其中一個(gè)PowerShell模塊。打開一個(gè)PowerShell會(huì)話，并遍歷PowerSploit保存在VICTIMS-PC本地上的位置。在PowerShell控制臺(tái)中，執(zhí)行：Import-Module.\PowerSploit.psm1Get-NetLocalGroup1在第一行中，將PowerSploit模塊導(dǎo)入內(nèi)存，在第二行中執(zhí)行該模塊提供的函數(shù)之一，在本例中為GetNetLocalGroup。同樣，1是5.行動(dòng)：對DC執(zhí)行SMB會(huì)話枚舉階段發(fā)現(xiàn)的IP地址。攻擊者剛剛發(fā)現(xiàn)以下內(nèi)容：1連接到ADMINS-PC（我們將IP地址解析為計(jì)算機(jī)名也通過powerspoit）“/DomainAdmins“和”/HelpDesk“是管理員組PonyM是Helpdesk組的成員，因此PonyM可以授予攻擊者在ADMINS-PC上的管理員權(quán)限（攻擊者從前期的信息收集中知道RobinL在其中）。攻擊者使用這種類似關(guān)系之間關(guān)聯(lián)的思考方式是發(fā)現(xiàn)網(wǎng)絡(luò)中的關(guān)系，下一步攻擊者應(yīng)該如何使用PonyM進(jìn)行橫向移動(dòng)？哈希傳遞攻擊(Overpass-the-Hash)如果攻擊者所處的環(huán)境沒有禁用WDigest，則已經(jīng)游戲結(jié)束了，因?yàn)樗麄兪褂玫氖敲魑拿艽a。但是，本著學(xué)習(xí)的精神，讓我們更加努力，假設(shè)您不知道/無法訪問明文密碼。那么，只要訪問PonyM的NTLM散列，你能做什么？使用名為OverpasstheHash的技術(shù)，您可以獲取NTLM散列，并使用它通過Kerberos\ActiveDirectory獲取票據(jù)，授予票據(jù)TGT(TicketGrantingTicket）。有了TGT，你可以偽裝成PonyM并訪問PonyM可以訪問的任何域資源。行動(dòng)：對PonyM進(jìn)行哈希傳遞攻擊在這里你將再次使用Mimikatz。從VICTIMS-PC那里復(fù)制PonyM的NTLM散列VICTIMS-PC.txt文件，早期獲?。?.行動(dòng)：從VICTIMS-PC轉(zhuǎn)儲(chǔ)憑據(jù)）。在VICTIMS-PC上，轉(zhuǎn)到文件系統(tǒng)中存儲(chǔ)Mimikatz的位置，并執(zhí)行以下命令：Mimikatz.exe“privilege::debug”“sekurlsa::pth/user:PonyM/ntlm:[ntlmhash]/domain:”“exit”用來自VICTIMS-PC上的VICTIMS-PC.txt文件中PonyM的NTLM值進(jìn)行替換[ntlmhash]執(zhí)行完上面命令后，將打開新的命令行提示會(huì)話，這個(gè)新的命令提示符將PonyM的憑據(jù)注入。讓我們驗(yàn)證一下，看看是否可以讀取Admins-PC的C$內(nèi)容，這是用戶JackM根本沒有權(quán)限進(jìn)行操作的事情。行動(dòng)：使用PonyM的憑證讀取Admins-PC的C$在新命令提示符下，運(yùn)行以下命令：dir\\admin-pc\c$是的，攻擊者現(xiàn)在可以訪問Admins-PC的C盤，讓我們驗(yàn)證一下，打開的新命令提示符注入了PonyM的Ticket票據(jù)，而且您并沒有誤認(rèn)為JackM具有讀取權(quán)限。行動(dòng)：在哈希傳遞攻擊過的命令提示符下檢查Ticket票據(jù)在從哈希傳遞攻擊（Overpass-the-hash）攻擊打開的新命令提示符中，執(zhí)行以下命令：klist這個(gè)命令確認(rèn)你當(dāng)前使用合法的憑證，用以訪問管理ADMINS-PC。域權(quán)限提升攻擊者現(xiàn)在可以訪問Admins-PC，這是一臺(tái)從早期的偵察中識別出的能夠危害高權(quán)限帳戶RobinL的良好攻擊載體的計(jì)算機(jī)。攻擊者現(xiàn)在想進(jìn)入Admins-PC，提升其在域中的權(quán)限。收獲憑證執(zhí)行哈希傳遞攻擊將允許我們橫向移動(dòng)到Admins-PC。接著我們需要將攻擊者工具移動(dòng)到Admins-PC上，特別是Mimikatz和PsExec。行動(dòng)：針對Admin-PC執(zhí)行Mimikatz在PonyM上下文中運(yùn)行的新命令提示符下，轉(zhuǎn)到Victim-PC中Mimikatz所在的文件系統(tǒng)部分。運(yùn)行以下命令：xcopymimikatz\\admin-pc\c$\temp接下來，遠(yuǎn)程執(zhí)行MimiKatz以從Admin-PC導(dǎo)出所有Kerberos票據(jù)：psexec.exe\\admins-pc-accepteulacmd/c(cdc:\temp^&mimikatz.exe“privilege::debug”“sekurlsa::tickets/export”“exit”)由于我們僅對RobinL的票據(jù)感興趣，因此我們僅將RobinL的票據(jù)復(fù)制回Victim-PC：copy\\admins-pc\c$\temp\*robinl*c:\temp\tickets既然我們已經(jīng)復(fù)制了Admins-PC的憑證，就可以刪除復(fù)制過來的文件和導(dǎo)出的票據(jù)，清除痕跡。rmdir\\admins-pc\c$\temp/s/q剛才發(fā)生了什么？攻擊者已成功將Mimikatz工具復(fù)制到Admins-PC。他們成功地遠(yuǎn)程執(zhí)行了Mimikatz，從Admins-PC導(dǎo)出了所有Kerberos票據(jù)。最后，攻擊者將結(jié)果復(fù)制回Victims-PC，現(xiàn)在有了RobinL的憑據(jù)，而不必利用他的電腦(Admins-PC)！Pass-the-Ticket我們可以用這些票據(jù)做什么？我們可以直接將它們傳遞到內(nèi)存中，并像使用RobinL一樣使用它們來訪問資源。攻擊者已準(zhǔn)備好將其導(dǎo)入Victims-PC的內(nèi)存中，以獲取要訪問的憑據(jù)?感資源。驗(yàn)證您沒有對DC1域控制?的域管理員級別訪問權(quán)限從命令提示符處執(zhí)行以下操作:dir\\dc1\c$klist如我們所見，我們正在使用PonyM的票據(jù)，并且PonyM無權(quán)訪問的DC1下的C盤目錄。行動(dòng)：Pass-the-Ticket在命令提示符下切換到Minikatz目錄下進(jìn)行權(quán)限提升，執(zhí)行以下命令：mimikatz.exe“privilege::debug”“kerberos::pttc:\temp\tickets”“exit”\h確保已成功導(dǎo)入RobinL@票據(jù)，如上所述?，F(xiàn)在，讓我們驗(yàn)證命令提示會(huì)話中是否有正確的票據(jù)。行動(dòng)：驗(yàn)證票據(jù)是否已導(dǎo)入在剛才已經(jīng)提升權(quán)限的命令提示符下進(jìn)行以下操作：klist攻擊者現(xiàn)在已成功將捕獲的票據(jù)導(dǎo)入會(huì)話，現(xiàn)在將利用他們的新權(quán)限和訪問權(quán)限訪問域控制?DC1下的C盤目錄。行動(dòng)：使用RobinL的憑據(jù)訪問dc1\c$的內(nèi)容在剛剛導(dǎo)入票據(jù)的同一命令提示符中執(zhí)行以下操作。dir\\dc1\c$無論出于何種目的，攻擊者現(xiàn)在都處于互聯(lián)網(wǎng)中。只有管理員RobinL才能訪問域控制?的根目錄。攻擊者正在使用合法憑據(jù)，可以訪問合法資源并執(zhí)行合法可執(zhí)行文件。大多數(shù)IT安全設(shè)備、軟件等都會(huì)對在其環(huán)境中進(jìn)行的這種域內(nèi)后滲透活動(dòng)視而不見。遠(yuǎn)程命令執(zhí)行針對DC的遠(yuǎn)程代碼執(zhí)行是每個(gè)攻擊者都希望做的事情，對我們的身份層本身進(jìn)行修改會(huì)使檢測他們的存在變得非常困難。讓我們執(zhí)行遠(yuǎn)程命令將用戶添加到域中，并使用RobinL的合法憑據(jù)將他們添加到“Administrators”安全組中。使用內(nèi)置工具，無需惡意軟件或黑客工具。行動(dòng)：對DC1遠(yuǎn)程執(zhí)行命令添加管理員在加載RobinL的Kerberos票據(jù)的命令提示符下，執(zhí)行以下操作：wmic/node:dc1processcallcreate“netuseradmin1$1234abcd!!/add”wmic/node:dc1processcallcreate“netlocalgroupadministratorsadmin1$/add”或psexec\\dc1-accepteulanetuseradmin$1234abcd!!/addpsexec\\dc1-accepteulanetlocalgroupAdministratorsadmin$/add域控制權(quán)

向域中添加管理員攻擊者已經(jīng)獲得了域控制權(quán)，他們可以作為管理員運(yùn)行任何代碼，并訪問域中的任何資源。然而，為了確保域控制的持久性，后門和其他機(jī)制作為保障，以防原始攻擊方法被發(fā)現(xiàn)，或證書隨機(jī)重置。首先你要破壞KRBTGT用戶的憑據(jù)帳戶。此帳戶充當(dāng)密鑰分發(fā)中心（KDC）服務(wù)的服務(wù)帳戶。一旦您破壞了KRBTGT帳戶，您將能夠生成Kerberos票據(jù)有效期10年。直流同步：破壞KRBTGT到目前為止，攻擊者在DC上所做的一切都要求他們在DC上運(yùn)行任意代碼。如果攻擊者決定運(yùn)行更隱蔽的攻擊，即不在DC上運(yùn)行任意代碼的攻擊（沒有PsExec或?qū)⒂脩籼砑拥教嵘慕M中），該怎么辦。Mimikatz，有一個(gè)叫做“DCSync”的功能。這允許攻擊者使用域管理憑據(jù)將任何憑據(jù)復(fù)制回它們，就像它們是DC域控制?一樣。行動(dòng)：破壞KRBTGT證書如果關(guān)閉了命令提示符，則打開具有RobinL憑據(jù)的命令提示符，回到第14步行動(dòng)。轉(zhuǎn)到命令提示符，確保RobinL的票據(jù)仍然被注入到會(huì)話中。klist從krbtgt驗(yàn)證RobinL/現(xiàn)在，我們知道自己在正確的控制臺(tái)上工作，我們可以模擬攻擊者并嘗試獲取域的最終憑證：KRBTGT。為什么是這個(gè)賬戶？用這個(gè)帳戶，你可以簽?zāi)阕约旱钠睋?jù)。行動(dòng)：執(zhí)行DCsync同步從Victim-PC上現(xiàn)已驗(yàn)證的RobinL命令提示符，遍歷到文件系統(tǒng)上Mimikatz所在的位置，然后執(zhí)行以下命令：mimikatz.exe“l(fā)sadump::dcsync/domain:/user:krbtgt”“exit”>>c:\krbtgt-export.txt針對krbtgt帳戶的DCsync同步一旦攻擊者打開“krbtgt-export.txt“他們將得到所需的KRBTGT票據(jù)詳細(xì)信息。打開“krbtgt-export.txt“我們剛剛將hasndump哈