Summary

實戰與靶機環境差別很大，內網的微軟ATP組件、Fortinet 與CS(CrowdStrike)的Falcon安全組件過于強大，很多工具都是根本無法使用的，免殺后會有各種問題.尤其是CS，不愧為北美最強EDR。

本地免去了隱蔽隧道聯通外網搭建的過程，簡單了一些，因為微軟漏洞一直有專門的TSG打補丁，所以單獨靠CVE難比登天。本文就這段時間的行動與思考做一個記錄，Rspect!

Information collection

首先是常規的一些用戶權限，域內環境等信息獲取。測試賬戶是User Domain.

主機信息獲取 systeminfo #在這里就遇到了問題，按理說域內主機打的KB都會記錄在里面，但是我發現里面僅有5個補丁，說明windwos補丁是由DC與安全組件統一去打，并不會記錄在域內的用戶主機上. tasklist #看到防護組件是falcon與Defender ATP,當然這屬于多次一舉,事先已經得到這些信息。 角色網絡域信息 ipconfig /all #看到主機名與IP地址信息，DNS后顯示域名xxx.org存在，確定Domain name. net view /domain #直接報錯。 net time /domain #顯示出了domain,再通過nslookup查到IP地址，確認此賬戶的DC name。 用戶信息 whoami /all # 查看一下權限，確認能不呢啟動windows系統進程，powershell等。 net group "Domain Admins" /all #查詢域管理員賬戶,這個比較關鍵，為后面DESync做鋪墊 net group "Enterprise Admins" /domain #查詢管理員用戶組 net group "Domain Controllers" /domain #查詢域控制器，查到光中國就55個域，著實是大公司了。 SPN查詢服務信息 setspn -q */* | findstr "xxx" #查詢服務信息，主要啊是去搜了LDAP，共享主機和管道的開啟狀態。

PotitPetam初探

查資料發現PotitPetam是Printerbug在被大范圍修復后的又一攻擊渠道，最開始利用EfsRpcOpenFileRaw函數對其他主機做身份驗證，微軟雖然在后面的補丁中嘗試修復問題，但是新出現的EfsRpc函數仍可以利用，需要用它來獲取NTLM-Hash，簡單看了下原理，似懂非懂。此次的攻擊由于ADCS限制，不管是Relay還是約束委派都無法直接利用，且會被falcon監控到。所以嘗試使用一種憑證降級的攻擊利用方法，先獲取憑證再說。整個Attack Pocess就像Web中的MITM（中間人攻擊），必須在域內的一臺主機中開啟監聽網卡，然后通過MS-EFSR向靶機發送驗證來獲取關鍵的DC憑證，所以必須知道一臺域內通過NTLM認證可連接的DC主機，并且可以通過lsarpc或者其他pipe聯通。不然無法進行PotitPetam，而且由于最新的DC管理默認NTLMv2認證，所以需要進行降級，去掉ssp。

【相關學習文檔】

Step1:

攻擊機就選定為這臺測試機，客戶機使用本機計算機，他們雖然在不同的子域內，但是彼此是相互可以聯通的，DC1為本地機的域1，DC2為本地機的DNS備選域2。以防不測。在測試機進行PotitPetam。首先查看本地Lan Manage身份管理，它會決定和客戶端與DC的身份驗證形式，默認是未定義的，如果是NTLMv2驗證形式，在后續抓取口令的時候就需要進行降級處理；其次查看匿名訪問的命名管道，默認是空的，如果要使用的話必須得有一個憑據，還好有

Step2:

這兒利用PetitPotam的方式還是蠻多，gihub有現成的腳本，也可以調用EFSRPC函數去做連接，如果測試環境沒有開lsarpc的話還是直接調用函數吧，域用戶與域管IP，如圖：

通過EfRPEncryptFileSrv() EFSRPC/lsarpc smb管道，like:

>> request = EfsRpcEncryptFileSrv() >> request['FileName'] = '\\%s\path\test.txt\x00' %listener #request['Flag'] = 0 #request.dump()

Step3:

在另一臺DC3中做responder監聽，ROOT權限才可開啟，如果沒有root權限的話，需要使用別的工具了。可以看到已經成功抓取了NTLMv1-ssp的域管憑證，如圖：

Step4:

接下來就是NTLM降級與取消ssp處理了，有兩種方便的方法，一種是直接在responder中修改challeng的值為1122334455667788,另一種是使用在線網站或工具解密NTLM Cracking.like：

Step5:

到這兒就已經擁有了DC中一個用戶的憑證哈希，可以將Hash拖出來跑hashcat或者彩虹表了，不過一般DC的密碼都是強密碼，16位強密碼破解起來難度極大，就算做了字典表也得跑很久，所以這兒再使用NTLM Relay的方式嘗試。

Step6：

DCSync,使用Impacket套件中的secretdump.py去橫向移動獲取更多的域管理員和域用戶的Hash值，將之前獲取到的DC憑證帶入，加上域用戶名：

Step7:

PTH,哈希傳遞我們使用Impacket中的smbclient.py,這是一個共享smb管道，將DC管理員（權限最高）的哈希值與用戶名放入，執行成功，就可以增刪改查文件了。如圖：

使用提權工具提權其他DC的其他非管理員用戶，查看使用過smb的用戶，替換哈希，提升權限，這里利用incognito2嘗試了一臺域內測試機,抱著試試看的態度VS改了一下特征值，神奇的是竟然沒有產生告警，有點奇怪。

到這兒任務已經完成，存在PetitPotam問題。且可以成功利用獲取DC信息，且整個過程繞過安全組件。

總結

以上是生活随笔為你收集整理的【网络安全】域渗透之完全绕开安全组件的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。