在你的內網中獲得域管理員許可權的五種方法

早在2013年9月，蜘蛛實驗室（ Spider Labs）就發表過一篇題為「SpiderLabs在你內網中獲取域管的五大方式」的文章。這篇文章是我繼該文的，應該說是非官方的「Part 2」部分。

1.Netbios和LLMNR Name Poisoning（中毒攻擊）

雖說如今Netbios/LLMNR並不像2013年那麼盛行，但在測試中絕大多數人都能通過此類攻擊，獲取NTLMv1和NTLMv2哈希值並對對其進行破解利用。你可以藉助像hate_crack這樣的高級框架，來幫助你完成對哈希值的破解任務。

我個人通常使用的都是一些通用的字典列表，例如」 uniqpass「以及常用hashcat規則集「base64」。但並不是所有密碼都能被破解的，對於一些強制性的複雜密碼類型，我們往往別無選擇。

Responder可以說是與mitm中毒和欺騙攻擊相關首選工具。目前該項目仍然由Laurent Gaffie維護。

Inveigh是一款Windows PowerShell的LLMNR/NBNS協議欺騙/中間人工具。

它的核心是一個.NET數據包嗅探器，它偵聽並響應LLMNR/mDNS/NBNS請求，同時還會通過Windows SMB服務捕獲傳入的NTLMv1/NTLMv2身份驗證嘗試。

2.中繼攻擊

較新的MultiRelay工具目前是由Laurent Gaffie維護的。

但我個人更喜歡impacket的工具，用於中繼和其他滲透測試需求。我發現Impacket的工具，在大多數unix上以及在Mac OS本地運行都非常的可靠和穩定。與其他免費的開源工具相比，這些工具在主機上執行時會留下的痕迹也相對小很多（如果你考慮這方面的問題，那麼無疑這是一個最佳的選擇）。你可以安裝impacket，為你的測試做準備。

SMB中繼解釋：

smbrelayx.py

在SMBRelay攻擊中，攻擊者要以中間人攻擊方式來實施。攻擊者等待某人來驗證在他網路上的目標伺服器。這樣一來可以利用漏洞掃描器+管理員自動驗證主機腳本。當自動化進程連接到攻擊者，他通過他的目標(網路上的其他系統，也許是伺服器)進行身份驗證。目標會產生challenge，並將其發送給攻擊者。攻擊者發送challenge回到原始掃描系統。掃描系統擁有哈希值的加密功能正確密碼的哈希值會將其發送給攻擊者。攻擊者傳遞正確的加密的響應返回給他的目標，並成功驗證。

阻止這種攻擊的唯一方法是強制執行伺服器SPN檢查禁用SMB埠。當然了，你也可以選擇禁用SMB的數據輸出埠：137，138，129和445，使用一些主機簽名和數據包簽名，或啟用一些額外的保護措施。

NTLM中繼解釋：

ntlmrelayx.py

用戶請求訪問。用戶嘗試通過提供用戶憑據登錄到客戶端。登錄前，客戶端計算機緩存密碼的哈希值並放棄密碼。客戶端向伺服器發送一個請求，該請求包括用戶名以及純文本格式的請求。伺服器發送質詢消息。伺服器生成一個稱為質詢的 16 位元組隨機數（即 NONCE），並將它發送到客戶端。客戶端發送應答消息。客戶端使用由用戶的密碼生成的一個密碼哈希值來加密伺服器發送的質詢。它以應答的形式將這個加密的質詢發回到伺服器。伺服器將質詢和應答發送到域控制器。伺服器將用戶名、原始質詢以及應答從客戶端計算機發送到域控制器。域控制器比較質詢和應答以對用戶進行身份驗證。域控制器獲取該用戶的密碼哈希值，然後使用該哈希值對原始質詢進行加密。接下來，域控制器將加密的質詢與客戶端計算機的應答進行比較。如果匹配，域控制器則發送該用戶已經過身份驗證的伺服器確認。伺服器向客戶端發送應答。假定憑據有效，伺服器授予對所請求的服務或資源的客戶端訪問權。

SMBRelay和較新的攻擊都利用了SMB簽名，並允許特權用戶通過SMB/NTLM身份驗證機制進行身份驗證。

需要注意的是，在不同網路上的Windows主機列表包含的目標很重要。我有一個很好的技巧就是以隨機方式創建非簽名主機的目標列表

下面的主機，使我能更快的獲取域管允許域用戶本地管理員訪問SQL伺服器，該伺服器與域控制器共享相同的本地管理員密碼

默認情況下，如果不指定要執行的二進位文件，ntlmrealyx將運行secretsdumps。

成功執行NTLM中繼後，你會在執行ntmrelayx的目錄中找到名為「IP_samhashes」的哈希文件。

拿到哈希後，我使用impacket的wmiexec.py腳本，利用pass-the-hash技術最終獲得了DA

在上面的場景中，我能夠將憑據從一個網路中繼到另一個網路，並檢索可以通過wmiexec.py傳遞的管理員散列。並且可以讓我在不破解哈希的情況下，直接獲取域管理員許可權。

3.MS17-010

nmap -Pn -p445 - open - max-hostgroup 3 - smb-vuln-ms17-010 script

ETERNALBLUE，ETERNALCHAMPION，ETERNALROMANCE和ETERNALSYNERGY是2017年4月14日Shadow Brokers泄露出的四個NSA威脅漏洞。WannaCry/WannaCrypt是一個利用ETERNALBLUE漏洞進行傳播的「蠕蟲式」勒索病毒軟體，EternalRocks比比勒索病毒WannaCry更隱蔽危害也更大，WannaCry只利用了2個漏洞，而EternalRocks則利用了7個漏洞。Petya也是一個勒索病毒程序，首先它會利用Microsoft Office中的CVE-2017-0199漏洞，然後通過ETERNALBLUE進行傳播。

4. Kerberoasting

我曾多次成功在Active Directory域環境中，使用被稱之為Kerberoasting的攻擊來提升許可權。Tim Medin在SANS Hackfest 2014上展示了這種技術，從那以後也出現了許多與該技術細節相關的精彩文章和會議講座。

Microsoft的Kerberos實現可能有點複雜，其主要利用了舊版Windows客戶端的傳統Active Directory支持，以及使用的加密類型和用於加密和簽署Kerberos票據的key material。實質上，當域帳戶被配置為在環境中運行服務時（例如MSSQL），服務主體名稱（SPN）在域中被使用將服務與登錄帳戶相關聯。當用戶想要使用特定資源時，他們會收到一個當前運行該服務帳戶的NTLM哈希和簽名的Kerberos票據。

下面的例子來自mubix的網站：

5.mitm6

Mitm6是一個非常強大的工具，用於在典型的Windows廣播網路上獲取和提升許可權。當其他攻擊都失敗時，你可以嘗試smbrelay + mitm6或ntlmreayx攻擊。總之請發揮你的想像力，你將收穫意想不到的驚喜！

與ntlmrelayx的用法：

mitm6與ntlmrelayx應該說是最好的拍檔。在這種情況下，目標DNS會被欺騙，導致受害者以HTTP和SMB的連接方式連接到ntlmrelayx。為了確保ntlmrelayx在IPv4和IPv6上偵聽，我們可以使用-6參數。要獲取WPAD的憑據，我們需要在命令提示符中-wh參數後添加主機，並指定WPAD文件所在的主機（因為DNS伺服器是mitm6，所以本地域中的任何不存在的主機名都可以使用）。

mitm6是一個可以利用默認Windows配置，接管默認DNS伺服器的滲透測試工具。首先讓mitm6開始在攻擊者機器的主介面上偵聽，並通過DHCPv6向Windows客戶端請求IPv6配置。mitm6將會應答這些DHCPv6請求，並為受害者分配本地鏈路範圍內的IPv6地址。而在實際的IPv6網路中，這些地址由主機本身自動分配，不需要由DHCP伺服器來配置，這使得我們有機會將攻擊者IP設置為受害者的默認IPv6 DNS伺服器，並將受害者流量重定向到攻擊者機器而不是合法伺服器。有關攻擊的完整說明，請參閱我們關於 mitm6的博文。

*參考來源：medium，FB小編 secist 編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！