【网络安全】域渗透之完全绕开安全组件
时间:2022-10-24 20:00:00
Summary
实战和靶机环境差别很大,微软内网ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全部件太强大,很多工具根本不能使用。免杀后会出现各种问题.尤其是CS,不愧为北美最强EDR。
本地免去了隐蔽隧道联通外网搭建的过程,简单了一些,因为微软漏洞一直有专门的TSG所以单独依靠补丁CVE这篇文章记录了这段时间的行动和思考,Rspect!
Information collection
一是获取一些常规用户权限、域内环境等信息。测试账户是User Domain.
获取主机信息 systeminfo #我在这里遇到了一个问题,这是合理的KB记录在里面,但我发现里面只有五个补丁,说明windwos补丁是由DC与安全组件统一战斗,不会记录在域内用户主机上. tasklist #看到防护部件是falcon与Defender ATP,当然,这属于多次一举,这些信息已经提前获得。 角色网络域信息 ipconfig /all #看到主机名与IP地址信息,DNS后显示域名xxx.org存在,确定Domain name. net view /domain #直接报错。 net time /domain #显示出了domain,再通过nslookup查到IP确认该账户的地址DC name。 net time /domain #显示出了domain,再通过nslookup查到IP地址,确认此账户的DC name。 用户信息 whoami /all # 检查权限,确认是否可以启动windows系统进程,powershell等。 net group "Domain Admins" /all #查询域管理员账户,这是关键,为后面DESync做铺垫 net group "Enterprise Admins" /domain #查询管理员用户组 net group "Domain Controllers" /domain #查询域控制器,光中国就有55个域,真的是大公司。 SPN查询服务信息 setspn -q */* | findstr "xxx" #查询服务信息,主要是搜索LDAP,共享主机和管道的开启状态。 SPN查询服务信息 setspn -q */* | findstr "xxx" #查询服务信息,主要是搜索LDAP,共享主机和管道的开启状态。 PotitPetam初探
查资料发现PotitPetam是Printerbug大规模修复后的另一个攻击渠道开始使用EfsRpcOpenFileRaw函数验证其他主机的身份。虽然微软试图在以后的补丁中修复问题,但它是新的EfsRpc函数仍然可以用来获取NTLM-Hash,简单看一下原理,好像不懂。因为这次攻击ADCS无论如何,限制Relay或者约束委派不能直接使用,会被直接使用falcon监控到。所以试着用一种降级凭证的攻击方法,先拿到凭证。整个Attack Pocess就像Web中的MITM(中间人攻击)必须在域内主机中打开监控网卡,然后通过MS-EFSR向靶机发送验证以获得关键点DC因此,我们必须知道一个域是通过的NTLM认证可连接DC主机可以通过lsarpc或者其他pipe联通。否则不能进行PotitPetam,而且因为最新的DC管理默认NTLMv2认证,需要降级去掉ssp。
相关学习文档
Step1:
攻击机被选为本测试机,客户机使用本机计算机,虽然它们在不同的子域内,但它们可以相互连接,DC1为本地机域1,DC2为本地机的DNS备选域2。以防不测。进行测试机PotitPetam。首先检查本地Lan Manage身份管理将决定与客户端和客户端DC默认不定义身份验证形式。NTLMv2.验证形式,后续密码需要降级;其次,检查匿名访问的命名管道。默认情况下是空的。如果你想使用它,你必须有一个证据。幸运的是,有
Step2:
这儿利用PetitPotam方法还是挺多的,gihub也可以调用现成脚本EFSRPC如果测试环境没有打开函数进行连接lsarpc直接调用函数,域用户和域管IP,如图:
通过EfRPEncryptFileSrv() EFSRPC/lsarpc smb管道,like:
>> request = EfsRpcEncryptFileSrv() >> request['FileName'] = '\\%s\path\test.txt\x00' %listener #request['Flag'] = 0 #request.dump() Step3:
在另一台DC3中做responder监听,ROOT权限可以打开,如果没有,root如果你有权限,你需要使用其他工具。你可以看到它已经成功地被抓住了NTLMv1-ssp域管凭证如图所示:
Step4:
接下来就是NTLM降级与取消ssp有两种方便的处理方法,一种是直接处理responder中修改challeng另一种是使用在线网站或工具解密11223456788NTLM Cracking.like:
Step5:
已经在这里了DC哈希,一个用户的凭证,可以Hash拖出来跑hashcat或者彩虹表,但一般DC密码都是强密码,16位强密码很难破解。即使做了字典表,也要跑很久,这里再用NTLM Relay的方式尝试。
Step6:
DCSync,使用Impacket套件中的secretdump.py去横向移动获得更多的域管理员和域用户Hash值,以前获得的DC带入凭证,加上域用户名:
Step7:
PTH,我们用哈希传递Impacket中的smbclient.py,这是共享smb管道,将DC将管理员(权限最高)的哈希值与用户名放入并成功执行后,可以添加、删除和查看文件。如图所示:
提权工具使用提权工具提权DC其他非管理员用户检查使用过的用户smb用户在这里使用,更换哈希,提高权限incognito2尝试了域内测试机,抱着尝试的态度VS改变特征值,神奇的是没有报警,有点奇怪。
这里的任务已经完成,存在PetitPotam问题DC信息,整个过程绕过安全组件。
