在午餐前獲取內部網路域管理員的五大方法

一個可怕的現狀：我在網路安全領域工作多年，從事大範圍的滲透和紅隊服務。是的，與我剛開始進行滲透測試時一樣，在「午餐前」獲得Domain Admin仍然是很容易的事情。

早在2013年9月，SpiderLabs就撰寫了一篇題為「SpiderLabs在您的內部網路上獲得域管理員的五大方法」的文章。本文是為向原文致敬，並續寫一個非官方的「第二部分」。

Netbois和LLMNR命名投毒

（Netbios and LLMNR Name Poisoning）

我希望我能說Netbios / LLMNR並不像2013年那麼流行。但絕大多數安全評估中，評估者都可獲得NTLMv1和NTLMv2哈希值並恢復為可用憑據。為了輔助破解捕獲的Hash值，現在有了像hate_crack這樣的高級框架來協助完成密碼暴力破解工作。

Responder，可以說是與mitm投毒和欺騙相關事項的首選工具。它仍然由Laurent Gaffie積極維護中。

Inveigh由原生Windows .NET編寫，是Responder的兄弟（Unix/Linux下Python編寫）。

Inveigh的核心是一個.NET數據包嗅探器，它偵聽並響應LLMNR / mDNS / NBNS請求，同時還捕獲通過Windows SMB服務傳入的NTLMv1 / NTLMv2身份驗證嘗試。

這兩款中間人工具都旨在協助在Windows系統進行滲透測試的滲透測試人員、紅隊人員。

中繼攻擊(Relay attacks)

Responder中的新工具MultiRelay由Laurent Gaffie維護，該工具為無縫的SMB中繼攻擊而設計。

我個人更喜歡使用impacket中的工具來滿足中繼和其他滲透測試需求。我發現Impacket的工具在大多數unix上都可靠和穩定，並可在Mac OS上原生運行。與其他免費的開源工具相比，它們在主機上執行時會留下相對較小的取證痕迹（如果您擔心這些噪音、希望隱蔽或不得不抵擋藍隊）。

為了下面這些例子的使用，讓我們預先安裝impacket。

SMB中繼解釋

smbrelayx.py

該模塊用於執行最初由cDc發現的SMB Relay攻擊。它接收一個進行中繼目標的參數，為每個接收到的連接選擇下一個目標並嘗試中繼憑證。此外，如果指定參數，它將首先對連接到我們的客戶端進行身份驗證。

它實現了Hook了部分函數的SMB伺服器與HTTP伺服器以及smbclient的部分功能。它可以在任何LM兼容級別上工作。阻止這種攻擊的唯一方法是強制執行伺服器SPN檢查或簽名。

如果目標系統開啟了強制籤名並且有一個機器賬號，這個模塊將會嘗試使用NETLOGON（CVE-2015-0005）進行Session Key 的收集。

如果針對目標的身份驗證成功，則客戶端同樣身份驗證成功，並且將會與本地SMB伺服器簡歷有效連接。用戶可以針對需要設置本地SMB伺服器。一種選擇是配置一些共享文件，使受害者認為他連接到了正確的SMB伺服器。以上操作都是通過smb.conf文件或以編程方式完成的。

NTLM中繼說明

ntlmrelayx.py

ntmlreayx和隨機選擇的目標↑

SMBRelay和較新的攻擊都利用SMB簽名，允許特權用戶通過SMB / NTLM身份驗證機制進行身份驗證。

注意不同網路上的Windows主機列表中包含的目標很重要。我的一個很好的竅門是以隨機方式創建非簽名SMB主機的目標列表（It is important to note that the targets contained in the list of Windows hosts on different networks. A nice trick of mine is to create your target lists of non smb signed hosts in a randomized fashion）

下面的這種情況的主機，讓我能夠加速的獲得域管理員：域管理員允許域用戶以本地管理員許可權訪問那些本地密碼與域密碼相同的SQL Server（The host below, which expedited me getting domain admin allowed domain users local admin access to a SQL server that shared the same local admin password with a Domain Controller)

默認情況下，如果不指定要執行的二進位文件，ntlmrealyx將運行secretsdumps。

管理員散列↑

成功完成NTLM中繼後，您會在執行ntmrelayx的目錄中找到名為「IP_samhashes」的HASH文件。

使用這個管理員散列，我用臭名昭著的pass-the-hash技術使用了impacket的wmiexec.py獲得了域管理員許可權。

域控制器的Shell許可權↑

mitm6 + ntlmrelayx + pth = Domain Amin↑

在上面的場景中，我能夠將憑證從一個網路轉發到另一個網路，並檢索到可以通過wmiexec.py傳遞的管理員HASH。這個特定的本地管理員HASH讓我可以在不破解密碼的情況下獲得域管理員，甚至事先擁有有效的域用戶帳戶。

MS17-010

nmap -Pn -p445 – open – max-hostgroup 3 – smb-vuln-ms17-010 script

ETERNALBLUE，ETERNALCHAMPION，ETERNALROMANCE和ETERNALSYNERGY是2017年4月14日由Shadow Brokers組織發布的多個方程式組織的漏洞和exploits中的四個。WannaCry / WannaCrypt是一個利用ETERNALBLUE漏洞的勒索軟體程序，EternalRocks是一種使用7個方程式組織漏洞的蠕蟲。Petya是一個勒索軟體程序，首先使用Microsoft Office中的漏洞CVE-2017-0199，然後通過ETERNALBLUE傳播。

2018年的「8067」↑

Kerberoasting

我已經使用稱為Kerberoasting的攻擊方法在Active Directory域環境中多次成功提權。Tim Medin在SANS Hackfest 2014上發表了這種技術，從那以後，已經有很多關於攻擊細節的精彩文章和會議講座和利用不同技巧編寫的工具（在本文底部的參考鏈接）。

Microsoft的Kerberos實現方式可能有點複雜，但對其進行攻擊是利用它對舊版Windows客戶端的傳統Active Directory支持、使用的加密類型和用於加密和簽名Kerberos tickets的密鑰材料。

實質上，當一個域帳戶被配置為在域環境中運行服務（例如MS SQL）時，域將使用服務主體名稱（SPN）將該服務與登錄帳戶相關聯。當用戶希望使用特定資源時，他們會收到一個使用正在運行該服務的帳戶的NTLM哈希簽名的Kerberos票據。

下面的例子來自mubix的網站

root@wpad:~/impacket/examples# ./GetUserSPNs.py -dc-ip 192.168.168.10 sittingduck.info/notanadminImpacket v.9.15-dev - Copyright2002-2016Core Security TechnologiesPassword:ServicePrincipalName Name MemberOf PasswordLastSet---------------------------------- ---------- ------------------------------------------------ -------------------http/win1.sittingduck.info uberuser CN=Domain Admins,CN=Users,DC=sittingduck,DC=info2015-11-1023:47:21MSSQLSvc/WIN2K8R2.sittingduck.info sqladmin012016-05-1319:13:20

mitm6

Mitm6是一個非常強大的工具，它用於在典型的Windows廣播網路上獲取和提升許可權。當其他的攻擊方法失敗時，嘗試使用smbrelay + mitm6或默認的ntlmreayx。利用你的想像力，在午餐前利用mitm6的力量獲得域管理員！

mitm6欺騙↑

ntlmrelayx的用法

mitm6設計上是與ntlmrelayx一同使用。您應該依次運行這些工具，在這種情況下，它會欺騙DNS，導致受害者連接到HTTP和SMB連接到ntlmrelayx。為此，您必須確保使用該選項運行ntlmrelayx ，這會使其同時監聽IPv4和IPv6。要獲取WPAD的憑據，請指定WPAD主機名進行欺騙（由於DNS伺服器是mitm6，本地域中的任何不存在的主機名都將起作用）。如果您懷疑受害者沒有修補MS16-077漏洞，您也可以使用參數嘗試進行多次對WPAD文件本身進行身份驗證的提示。

mitm6是一種利用Windows默認配置接管默認DNS伺服器的滲透測試工具。它通過回復DHCPv6消息來執行此操作，向受害者提供鏈接本地的IPv6地址並將攻擊者主機設置為默認DNS伺服器。DNS伺服器(mitm6)將有選擇地回復攻擊者選擇的DNS查詢，並將受害者流量重定向到攻擊者機器而不是合法伺服器。有關這種攻擊的完整說明，請參閱我們的關於mitm6的博客。Mitm6旨在與來自impacket的ntlmrelayx一起使用，用於WPAD欺騙和證書中繼。

關於下面的引用: 這個博客的許多部分直接引用和複製下面的來源。所有功勞歸於那些完成我引用的驚人工作的人。

Hack all things and be responsible !!!

參考鏈接

https://1337red.wordpress.com/using-a-scf-file-to-gather-hashes/

https://github.com/lgandx/Responder

https://github.com/Kevin-Robertson/Inveigh

https://github.com/purpleteam/snarf

https://github.com/fox-it/mitm6

https://www.blackhillsinfosec.com/a-toast-to-kerberoast/

https://www.fox-it.com/en/insights/blogs/blog/inside-windows-network/

https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS17-010/ms17_010_eternalblue.rb

https://room362.com/post/2016/kerberoast-pt1/

https://isc.sans.edu/forums/diary/Using+nmap+to+scan+for+MS17010+CVE20170143+EternalBlue/22574

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！