记录一次重保域渗透小技巧

白色键盘 1.9K 0

进入域环境

通过外网各种手法进入域内,首先准备打一发MS14-068,结果发现打了200多个补丁,更别说域控服务器了,我选择放弃[aru_12]

MS14-068利用前置条件

1.域控服务器没有打MS14-068的补丁

2.攻击者拿下了一台域内的普通计算机,并获得普通域用户以及密码/hash值,以及用户的suid

原始手法打域控

ipconfig /all    //查询本机 IP 段,所在域等

记录一次重保域渗透小技巧

net user //本机用户列表

记录一次重保域渗透小技巧

net localgroup administrators /domain  查询域管账号

记录一次重保域渗透小技巧

net view /domain 查看有几个域

net group /domain 查看域里面的组

net user /domain 查询域用户

等....

就是通过服务器上登陆的普通域账号抓取他的hash密码,然后通过powershell去查询域用户登陆过的服务器,用抓取到的域账号去登陆其他服务器,再次抓服务器其他域用户的hash密码,反复如此,就能抓到域管账号密码(只要域管登陆过其他机器,肯定会登陆啦)。
powershell查询域用户登陆过的机器

神器bloodHound

通过以上的手法,想拿到域管的账号密码,可谓是大海捞针[aru_15],可是我们找到了这款域渗透分析工具就简单多啦[aru_12]

简介

BloodHound以用图与线的形式,将域内用户、计算机、组、Sessions、ACLs以及域内所有相关用户、组、计算机、登陆信息、访问控制策略之间的关系更直观的展现在Red Team面前进行更便捷的分析域内情况,更快速的在域内提升自己的权限。它也可以使Blue Team成员对己方网络系统进行更好的安全检测及保证域的安全性。

BloodHound通过在域内导出相关信息,在将数据收集后,将其导入Neo4j数据库中,进行展示分析。Neo4j是一款NOSQL图形数据库,它将结构化数据存储在网络上而不是表中,Bloodhound正是利用这种特性加以合理分析,可以更加直观的将数据以节点空间”来表达相关数据。

下载后我们只需要执行

SharpHound.exe -c all

域渗透分析工具BloodHound 1.5.2的入门及实战

程序会自动爬取域里的关系图,在本目录会生成一个zip压缩包文件,里面是多个json文件,将压缩包直接上传到BloodHound(使用BloodHound需要安装Neo4j数据库),就会生成一个域关系图啦,通过域关系图可以快速找到域管登陆过的机器,所有域用户登陆过的机器,且可以帮我们找到最快合适的线路图到达域控制器。

记录一次重保域渗透小技巧

 

BloodHound常用查询条件

1、查找所有域管理员

2、寻找最短到达域管理员路径

3、寻找管理员登陆记录

4、存在Session记录最多的前十个用户

5、存在Session记录最多的前十个计算机

6、拥有最多本地管理权限的前十个用户

7、拥有最多的管理员登陆的前十个机器

8、具有外部域组成员的用户

9、具有外部域组成员的组

10、域信任地图

11、SPN用户的最短路径

12、SPN用户到域管理员的最短路径

记录一次重保域渗透小技巧

记录一次重保域渗透小技巧

注:以上图片均为测试环境

发表评论 取消回复
表情 图片 链接 代码

分享