首页
社区
课程
招聘
[原创]记一次大型且细小的域渗透实战
发表于: 2021-2-1 19:01 1989

[原创]记一次大型且细小的域渗透实战

2021-2-1 19:01
1989

我是后面接手这个域环境,而前面的dalao已经到域控的部分了,我因为写文章的原因,所以需要从原地出发,学习一下dalao是如何打到域控的

1. 本文顺序可能有点杂乱,需要耐心阅读,并且打码的地方有打得不好请见谅 -.-(得细心看)

2. 本次渗透因为是实战的原由,没有使用DACL委派方法进行攻击(因为添加/修改计算机账户[Machine Account]或用户[Domain Users]我实属不敢弄,感觉动静大),不过本文也会在相应位置写出对应的攻击方法

3. 实战过程所植入的Beacon掉了几次,所以图中有些地方的进程号(PID/PPID)可能会有对不上的地方,请大家原谅

4.本文涉及敏感信息的部分统一使用别名,例如:child.xiaoli,IP Address部分直接忽略打码的格子即可

5.打码的原因全部基于实战,没有在本地复现,所以请各位见谅

(1)目前我在r**a这台主机(接下来r**a=ra),而ra主机上有ra用户,并且已经提权到了system,其中ip为192.168.1.95(忽略下面的主域)

图1

当前用户为ra,其完全用户名=m\ra
图2

(2) 当前机子所在域的FQDN(完全域名),我们接下来在文中统称为 m.child.xiaoli

图3

(3)查看域控制器

可能不是英文的原因,CobaltStrike的net domain_controller没用了

图4

因此我们直接net group /domain查看域控即可,域控为po.m.child.xiaoli

图5

(4)枚举Enterprise Admins

这里我们要做笔记,在子域环境里面,域管理员有两种,一种是Domain Admins,另外一种是Enterprise Admins,我们net group /domain 看不到任何有关Enterprise Admins的信息,但是不慌,我们上powersploit神器

注意:由于不同语言,该域的Enterprise Admins组名 = A\***s组,文中直接称作AS组(这个组名是我翻译后得知的)*

首先我们使用net group常规查询→失败

图6

导入powersploit,使用模块Get-DomainForeignUsers(枚举域内所有用户,并且返回同时拥有其他域组的用户),我们得知m.child.xiaoli的域用户PO同时处于child.xiaoli的AS组(Enterprise Admins)(这里打码不太行,耐心点看:)

图7

(5)因为是个极大域,我们同时直接上神器BloodHound帮我们分析

Execute SharpHound Collector:

图8

Download BloodHound File:
图9

(6)查看域信任(Domain Trusts)信息,可以看到是多域结构(这个图就将就点看吧,还是能看懂的)

图10

为了方便理解,我使用BloodHound的Domain Trusts图方便大家理解

图11

(注意,下文的PGO用户/计算机并非是PO用户/计算机)

(1)目标分析

我们的目标已经很明确了,目标为域控:【po.m.child.xiaoli】,因此,我们直接在BloodHound分析一波最短路径到域控,首先起始点为用户ra,接着终点为域控【po.m.child.xiaoli

图12

BloodHound结果分析:从上图我们能看到,最短路径的分析,首先用户ra(我们当前的用户)是一个名为SN组的成员,而这个组又是计算机PGO的管理员,接着主机PGO上面有一个名为PGO用户的session(进程),接着这个用户是域控的管理员=PGO → Domain Admins,但不是Enterprise Admins,因为刚刚的枚举没看到用户PGO

(2)横向移动

首先我们使用名为【LM】的SMB Beacon横向到主机PGO.m.child.xiaoli,因为ra用户同时是PGO主机的管理员,所有同时获取到system32权限的beacon

图13

横向过去之后,我们使用名为【Priv_Esc】的TCP Beacon注入一个pgo用户进程,这里选择了PID为1632的explorer进程

图14

图15

因为pgo用户是域控的管理员,此时我们能利用pgo用户去访问域控po.m.child.xiaoli了

图16

用pgo用户横向到域控po.m.child.xiaoli,并且可以获得管理员权限的beacon

图17

Cobalt Strike 横向图
图18

(3)域信任攻击

此时已经到子域域控了,并且拥有该机子的system32权限,你可以选择往上去到根域,还是往下探索m.child.xiaoli的子域

(3-1)From DA to EA:攻击到根域child.xiaoli(不讲武德)

我们在子域域控收集根域的域控信息,这里使用powersploit的模块Get-ADDomainController,此时我们看到根域域控为:cl.child.xiaoli,并且ip为192.168.1.241(图中的Hostname+IPv4Address)

图19

笔记:

我们同时看看pgo除了是Domain Admins组的用户,还是什么组的用户

图20

可以看到,pgo用户还是Administrators组的用户,根据微软官方所述的话,个人理解该组用户权限比Domain Admins权限还高,并且拥有两条主要DCSync Attack所需要的Privilege:GetChangesALLGetChanges,我们可以制定一些比较【不讲武德】的攻击方案

流程图:

图21

(3-1-1)第一种攻击:略(极度不讲武德)

(3-1-2)第二种攻击:如下图所示,直接dcsync(同样不讲武德)

图22

(3-1-3)第三种攻击(有点不讲武德),相对于第二种多了一步,我们看看Bloodhound分析

图23

实际上相当于PGO在域内拥有WriteDacl权限,那我们两句命令就能实现dcsync

(3-1-4)这个也没什么好讲的,域控本身就有那俩权限(极度不讲武德)

(3-1-5)使用SID-History攻击到根域child.xiaoli(讲武德)

实现这个攻击,需要五个条件(实际上就是比普通的黄金票据多了一个sids条件)而金票需要四个,我们需要获取根域child.xiaoliEnterprise Admins组的ObjectID(SID+RID)

这里我们使用Conver-NameToSid获取child.xiaoli\krbtgt用户的ObjectID

图24

获取到krbtgt的Object ID后,我们要修改其RID,502修改为519,SID为519的ObjectID=Enterprise Admins组的Object ID

这里伪造的用户就有点讲究了,用户名不能随便取,我用上面收集到的用户PO登录失败了,即使m.child.xiaoli\PO是处于Enterprise Admins组

为此,我又一次请教了Bloodhound,看到Enterprise Admins组里有个child.xiaoli\Administrator用户,因此我们伪造的用户名填写administrator(Administrator是我翻译之后的结果,未翻译前并非叫Administrator)

(图片我直接马赛克了关键部分,但是能看到Extra SIDs最后的RID为519就没错了)

图25

这边我在m.child.xiaoli的域控上随便注入了个普通用户进程上测试,并且目标为nl.child.xiaoli,是根域的一台机子

注入票据前:(即使打码也掩盖不住报错的气质)

图26

注入票据后:

图27

这时有个疑问了,为什么我们的登录域还是M.child.xiaoli,却说成Enterprise Admins?别急,我们remote-exec看看我们的这个用户的组

图28

不难看到,M\Administrator确实处于Child\AS组,也就是child.xiaoli的Enterprise Admins组(后面的RID为证据)

(PS:我个人实操过,对根域域控确实具有完全控制权)

(3-2)Form DA to child DA:Child to child(从子域到子域的子域)

为了方便理解,我把子域的子域称为SUB-Child

很多时候,SUB-Child的东西也挺多的,从上文Domain Trusts分析,我们看到m.child.xiaoli还有子域o/c/t/e/T.m.child.xiaoli,在接下来的实验中,我们使用o.m.child.xiaoli作为我们的目标,我们从m.child.xiaoli向下移动,因此我们大约有三种攻击方案

(3-2-1)攻击过程略(极度不讲武德,使用Enterprise Admins)

图解:
图29

(3-2-2)使用SID-History攻击

图解:

图30

这个是我心血来潮测试的,可能有不对的地方,如有不对的地方,麻烦大佬在私信提出,十分感谢

我们可以在m.child.xiaoli里面使用BloodHound收集信息,或者手动收集

自动:BloodHound Automatic Collected:(-d 指定收集域,zipfilename修改Output文件名)

图31

手动:使用Powersploit手动收集o.m.child.xiaoli的域控制器,可以看到该域的域控计算机名叫LO,FQDN=lo.o.m.child.xiaoli,其中我们还收集到了域的SID,不过被我打码了
图32

(这个语言的Domain Admins=Axxxo组,我们简称为AO组)

使用powersploit收集该子域的域管理员,可以看到是Administrator

图33

现在我们对子域的信息有

接着我们使用SID-History攻击

图34

接着就可以访问子域域控lo.o.m.child.xiaoli

图35

我们看看用户组,确实处于o.m.child.xiaoli\Domain Admins,即使用户登录域是m.child.xiaoli

图36

主要是观察DCAL和ACE,但是我写的时候已经太累了,就不想写,而且我怕修改了密码之类的操作被发现,虽然密码改了可以用mimikatz改回去,但是本文就这样吧(不敢作死搞大动静)

总结一下本文涉及的知识点:

同时这个域控不止这么少玩法,但是是实战的原因,我不敢搞太多,结尾给大家上一张BloodHound的图看看

到主域(child.xiaoli)Domain Admins的路径:

图37

到域m.child.xiaoli的Domain Admins路径:

图38

1.本文总计3274字,图片总计38张,但由于实战环境下打码比较多,影响了看官体验,需要看官仔细看图以及文章内容,推荐阅读时间20-30分钟
2.本文系Gcow安全团队绝影小组原创文章,未经许可禁止转载
3.若看官在阅读本文中遇到说得不清楚以及出现错误的部分 请及时与公众号的私信联系 谢谢各位师傅的指导
1.本文总计3274字,图片总计38张,但由于实战环境下打码比较多,影响了看官体验,需要看官仔细看图以及文章内容,推荐阅读时间20-30分钟
2.本文系Gcow安全团队绝影小组原创文章,未经许可禁止转载
3.若看官在阅读本文中遇到说得不清楚以及出现错误的部分 请及时与公众号的私信联系 谢谢各位师傅的指导
 
 
 
 
 
 
1. 已经通过外层的植入上线了 CobaltStrike
2. 目标环境存在杀毒,但是对我们的操作并没任何影响
3. 存在多域信任信息,当前属于子域(Child Domain)
4. 环境并非英语,一些时间需要进行翻译
1. 已经通过外层的植入上线了 CobaltStrike
2. 目标环境存在杀毒,但是对我们的操作并没任何影响
3. 存在多域信任信息,当前属于子域(Child Domain)
4. 环境并非英语,一些时间需要进行翻译
1. A Kali machine
2. CobaltStrike
3. Bloodhound 4.011月更新了Bloodhound,一直没机会测试,现在机会来了)
4. PowerSploit(停更了挺可惜得,虽然有SeatBelt,但是不太会用)
1. A Kali machine
2. CobaltStrike
3. Bloodhound 4.011月更新了Bloodhound,一直没机会测试,现在机会来了)
4. PowerSploit(停更了挺可惜得,虽然有SeatBelt,但是不太会用)
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2021-2-1 19:02 被Gcow安全团队编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (1)
雪    币: 29
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
2021-2-3 10:00
0
游客
登录 | 注册 方可回帖
返回
//