记一次大型域渗透实战


1.本文总计3274字,图片总计38张,但由于实战环境下打码比较多,影响了看官体验,需要看官仔细看图以及文章内容,推荐阅读时间20-30分钟

2.本文系Gcow安全团队绝影小组原创文章,未经许可禁止转载

3.若看官在阅读本文中遇到说得不清楚以及出现错误的部分 请及时与公众号的私信联系 谢谢各位师傅的指导

0x01 前提与准备:

A.前言


我是后面接手这个域环境,而前面的dalao已经到域控的部分了,我因为写文章的原因,所以需要从原地出发,学习一下dalao是如何打到域控的

B.声明:


1. 本文顺序可能有点杂乱,需要耐心阅读,并且打码的地方有打得不好请见谅 -.-(得细心看)

2. 本次渗透因为是实战的原由,没有使用DACL委派方法进行攻击(因为添加/修改计算机账户[Machine Account]或用户[Domain Users]我实属不敢弄,感觉动静大),不过本文也会在相应位置写出对应的攻击方法

3. 实战过程所植入的Beacon掉了几次,所以图中有些地方的进程号(PID/PPID)可能会有对不上的地方,请大家原谅

4.本文涉及敏感信息的部分统一使用别名,例如:child.xiaoli,IP Address部分直接忽略打码的格子即可

5.打码的原因全部基于实战,没有在本地复现,所以请各位见谅

C.已知信息:



1. 已经通过外层的植入上线了 CobaltStrike

2. 目标环境存在杀毒,但是对我们的操作并没任何影响

3. 存在多域信任信息,当前属于子域(Child Domain)

4. 环境并非英语,一些时间需要进行翻译

D.环境与工具的准备:



1. A Kali machine

2. CobaltStrike

3. Bloodhound 4.0(11月更新了Bloodhound,一直没机会测试,现在机会来了)

4. PowerSploit(停更了挺可惜得,虽然有SeatBelt,但是不太会用)

0x02 开始:

1. 信息收集:

(1)目前我在r**a这台主机(接下来r**a=ra),而ra主机上有ra用户,并且已经提权到了system,其中ip为192.168.1.95(忽略下面的主域)

图1

当前用户为ra,其完全用户名=m\ra

图2

(2) 当前机子所在域的FQDN(完全域名),我们接下来在文中统称为 m.child.xiaoli

图3

(3)查看域控制器

可能不是英文的原因,CobaltStrike的net domain_controller没用了

图4

因此我们直接net group /domain查看域控即可,域控为po.m.child.xiaoli

图5

(4)枚举Enterprise Admins

这里我们要做笔记,在子域环境里面,域管理员有两种,一种是Domain Admins,另外一种是Enterprise Admins,我们net group /domain 看不到任何有关Enterprise Admins的信息,但是不慌,我们上powersploit神器

注意:由于不同语言,该域的Enterprise Admins组名 = A****s组,文中直接称作AS组(这个组名是我翻译后得知的)

首先我们使用net group常规查询失败

图6

导入powersploit,使用模块Get-DomainForeignUsers(枚举域内所有用户,并且返回同时拥有其他域组的用户),我们得知m.child.xiaoli的域用户PO同时处于child.xiaoli的AS组(Enterprise Admins)(这里打码不太行,耐心点看:)

图7

(5)因为是个极大域,我们同时直接上神器BloodHound帮我们分析

Execute SharpHound Collector:

图8

Download BloodHound File:

图9

(6)查看域信任(Domain Trusts)信息,可以看到是多域结构(这个图就将就点看吧,还是能看懂的)

图10

为了方便理解,我使用BloodHound的Domain Trusts图方便大家理解


   1. 其中child.xiaoli为根域(Root Domain),m.child.xiaoli为子域(Child Domain)

   2. 因为本机当前在m.child.xiaoli,所以显示Native

   3. 接着o/c/t/e/T.m.child.xiaoli为m.child.xiaoli的子域

   4. o/c/t/e/T.m.child.xiaoli之间没有信任关系

   5. NxiaoliE.child.xiaoli为child.xiaoli的第二个子域,和m.child.xiaoli之间没有信任关系

图11

2.开始进攻

(注意,下文的PGO用户/计算机并非是PO用户/计算机)


   目前已知信息有:

   当前用户:m.child.xiaoli\ra

   我们处在子域:m.child.xiaoli

   子域域控:po.m.child.xiaoli

   主域:child.xiaoli

   主域域控(根域):未知(还没收集,不着急)

   Enterprise Admins组名:AS

   已知Enterprise Admins用户:m.child.xiaoli\PO(不要和下文的PGO用户混淆)

   Domain Admins:交给Bloodhound分析,不着急

(1)目标分析

我们的目标已经很明确了,目标为域控:【po.m.child.xiaoli】,因此,我们直接在BloodHound分析一波最短路径到域控,首先起始点为用户ra,接着终点为域控【po.m.child.xiaoli

图12

BloodHound结果分析:从上图我们能看到,最短路径的分析,首先用户ra(我们当前的用户)是一个名为SN组的成员,而这个组又是计算机PGO的管理员,接着主机PGO上面有一个名为PGO用户的session(进程),接着这个用户是域控的管理员=PGO Domain Admins,但不是Enterprise Admins,因为刚刚的枚举没看到用户PGO

(2)横向移动

首先我们使用名为【LM】的SMB Beacon横向到主机PGO.m.child.xiaoli,因为ra用户同时是PGO主机的管理员,所有同时获取到system32权限的beacon

图13

横向过去之后,我们使用名为【Priv_Esc】的TCP Beacon注入一个pgo用户进程,这里选择了PID为1632的explorer进程

图14

图15

因为pgo用户是域控的管理员,此时我们能利用pgo用户去访问域控po.m.child.xiaoli了

图16

用pgo用户横向到域控po.m.child.xiaoli,并且可以获得管理员权限的beacon

图17

Cobalt Strike 横向图

图18

(3)域信任攻击

此时已经到子域域控了,并且拥有该机子的system32权限,你可以选择往上去到根域,还是往下探索m.child.xiaoli的子域


   A. 想往上去到根域的,请接着阅读(3-1和3-2)



   B. 若你是想往下探索该子域的子域的,请跳到(3-3)

(3-1)From DA to EA:攻击到根域child.xiaoli(不讲武德)

我们在子域域控收集根域的域控信息,这里使用powersploit的模块Get-ADDomainController,此时我们看到根域域控为:cl.child.xiaoli,并且ip为192.168.1.241(图中的Hostname+IPv4Address)

图19

笔记:


   Enterprise Controller:cl.child.xiaoli

   Enterprise Controller IP Address:192.168.1.241

我们同时看看pgo除了是Domain Admins组的用户,还是什么组的用户

图20

可以看到,pgo用户还是Administrators组的用户,根据微软官方所述的话,个人理解该组用户权限比Domain Admins权限还高,并且拥有两条主要DCSync Attack所需要的Privilege:GetChangesALLGetChanges,我们可以制定一些比较【不讲武德】的攻击方案


   第一种:我们可以直接获取在域控注入一个po用户进程,使用该用户进程去访问根域child.xiaoli(小提醒:上文提到PO为Enterprise Admins组用户)



   第二种:如果没有po用户进程,我们可以在m.child.xiaoli进行dcsync攻击,然后使用make_token调用m.child.xiaoli\po用户的Credentials(凭据),接着去访问根域child.xiaoli



   第三种:我们使用Administrators组的权限去欺负域,太DD了,因此我们可以不使用Administrators组带来的权限,而使用WriteDacl自己给自己赋予DCSync权限



   第四种:域控自己本身就有GetChangesALL和GetChanges权限,我们可以提权到system,使用机器账户去进行DCSync攻击



   第五种:使用SID-History攻击(讲武德)

流程图:

图21

(3-1-1)第一种攻击:略(极度不讲武德)

(3-1-2)第二种攻击:如下图所示,直接dcsync(同样不讲武德)

图22

(3-1-3)第三种攻击(有点不讲武德),相对于第二种多了一步,我们看看Bloodhound分析

图23

实际上相当于PGO在域内拥有WriteDacl权限,那我们两句命令就能实现dcsync


   ##添加DCSync权限,并且使用mimikatz导出全部hash

   Add-DomainObjectAcl -TargetIdentity child.xiaoli -Rights DCSync

   lsadump::dcsync /domain:child.xiaoli /all /csv

   ##删除权限,防止管理员发现

   Remove-DomainObjectAcl -TargetIdentity child.xiaoli -Rights DCSync

(3-1-4)这个也没什么好讲的,域控本身就有那俩权限(极度不讲武德)

(3-1-5)使用SID-History攻击到根域child.xiaoli(讲武德)

实现这个攻击,需要五个条件(实际上就是比普通的黄金票据多了一个sids条件)而金票需要四个,我们需要获取根域child.xiaoliEnterprise Admins组的ObjectID(SID+RID)

这里我们使用Conver-NameToSid获取child.xiaoli\krbtgt用户的ObjectID

图24

获取到krbtgt的Object ID后,我们要修改其RID,502修改为519,SID为519的ObjectID=Enterprise Admins组的Object ID

这里伪造的用户就有点讲究了,用户名不能随便取,我用上面收集到的用户PO登录失败了,即使m.child.xiaoli\PO是处于Enterprise Admins组

为此,我又一次请教了Bloodhound,看到Enterprise Admins组里有个child.xiaoli\Administrator用户,因此我们伪造的用户名填写administrator(Administrator是我翻译之后的结果,未翻译前并非叫Administrator)


   mimikatz kerberos::golden /user:administrator /domain:m.child.xiaoli /sid:【m.child.xiaoli的sid】 /krbtgt:xxxxxxxxxxxxxxxx /sids:【Enterprise Admins组的Object ID】 /startoffset:0 /endin:600 /renewmax:10080 /ptt

(图片我直接马赛克了关键部分,但是能看到Extra SIDs最后的RID为519就没错了)

图25

这边我在m.child.xiaoli的域控上随便注入了个普通用户进程上测试,并且目标为nl.child.xiaoli,是根域的一台机子

注入票据前:(即使打码也掩盖不住报错的气质)

图26

注入票据后:

图27

这时有个疑问了,为什么我们的登录域还是M.child.xiaoli,却说成Enterprise Admins?别急,我们remote-exec看看我们的这个用户的组

图28

不难看到,M\Administrator确实处于Child\AS组,也就是child.xiaoli的Enterprise Admins组(后面的RID为证据)

(PS:我个人实操过,对根域域控确实具有完全控制权)

(3-2)Form DA to child DA:Child to child(从子域到子域的子域)

为了方便理解,我把子域的子域称为SUB-Child

很多时候,SUB-Child的东西也挺多的,从上文Domain Trusts分析,我们看到m.child.xiaoli还有子域o/c/t/e/T.m.child.xiaoli,在接下来的实验中,我们使用o.m.child.xiaoli作为我们的目标,我们从m.child.xiaoli向下移动,因此我们大约有三种攻击方案


   第一种:从子域m.child.xiaoli到根域child.xiaoli后,然后从根域child.xiaoli使用Enterprise Admins组的用户到o.m.child.xiaoli(不讲武德)



   第二种:使用SID-History Attack,从子域m.child.xiaoli到子域o.m.child.xiaoli

(3-2-1)攻击过程略(极度不讲武德,使用Enterprise Admins)

图解:

图29

(3-2-2)使用SID-History攻击

图解:

图30

这个是我心血来潮测试的,可能有不对的地方,如有不对的地方,麻烦大佬在私信提出,十分感谢

我们可以在m.child.xiaoli里面使用BloodHound收集信息,或者手动收集

自动:BloodHound Automatic Collected:(-d 指定收集域,zipfilename修改Output文件名)

图31

手动:使用Powersploit手动收集o.m.child.xiaoli的域控制器,可以看到该域的域控计算机名叫LO,FQDN=lo.o.m.child.xiaoli,其中我们还收集到了域的SID,不过被我打码了

图32

(这个语言的Domain Admins=Axxxo组,我们简称为AO组)

使用powersploit收集该子域的域管理员,可以看到是Administrator

图33

现在我们对子域的信息有


   域控制器:lo.o.m.child.xiaoli

   该域管理员:Administrator

   域控sid:SXXXXXXXXXXXXXXXXXXX

   该域的Domain Admins组的ObjectID(SID+RID):SID+512=SXXXXXXXXXXXXXXXXXXX-512(RID为512为Domain Admins组)

接着我们使用SID-History攻击


   mimikatz kerberos::golden /user:Administrator /domain:m.child.xiaoli /sid:(m.child.xiaoli域的sid) /krbtgt:KRBTGT_HASH /sids:(域lo.o.m.child.xiaoli的Domain Admins ObjectID) /startoffset:0 /endin:600 /renewmax:10080 /ptt

图34

接着就可以访问子域域控lo.o.m.child.xiaoli

图35

我们看看用户组,确实处于o.m.child.xiaoli\Domain Admins,即使用户登录域是m.child.xiaoli

图36

3.二次进攻

主要是观察DCAL和ACE,但是我写的时候已经太累了,就不想写,而且我怕修改了密码之类的操作被发现,虽然密码改了可以用mimikatz改回去,但是本文就这样吧(不敢作死搞大动静)

0x02 结尾

总结一下本文涉及的知识点:

  1. Cobalt Strike 使用
  2. 横向移动
  3. 信息收集:Bloodhound
  4. 信息收集:PowerSploit
  5. 信息收集:Cobalt Strike
  6. DCSync 攻击
  7. DCSync:WriteDacl
  8. 域信任攻击:DA to EA
  9. 域信任攻击:DA to another DA

同时这个域控不止这么少玩法,但是是实战的原因,我不敢搞太多,结尾给大家上一张BloodHound的图看看

到主域(child.xiaoli)Domain Admins的路径:

图37

到域m.child.xiaoli的Domain Admins路径:

图38

查看原文