|
一、渗透路线的确认
1、DMZ区的一般是一些虚拟化的服务器;注意流量不能过大;流量加密;
2、维护好入口点;
3、寻找另一台跳板机;
4、判断当前所处的位置,如果在DMZ,可以注意寻找多网卡主机,出DMZ;
5、利用在服务器中搜集到的账号密码,尝试枚举连接LDAP等,并尝试获取域内普通用户权限;
6、进一步的信息收集,包括SPN扫描,和所获取的域用户权限获取域信息,以及周围主机信息;
7、利用常规渗透手法拿下域控:委派、非约束委派,CVE漏洞、定位管理员、PTH、令牌窃取等
二、CVE漏洞利用
- CVE-2020-1472 Zerologon:攻击者在通过NetLogon(MS-NRPC)协议与AD域控建立安全通道时,可利用该漏洞将AD域控的计算机账号密码置为空,从而控制域控服务器。
- CVE-2021-34527:域控环境下使用普通权限域账户实现RCE反弹
- MS14-068
- CVE-2021-34473 && CVE-2021-34523
- Exchange->DC
三、常用渗透手法
- 约束委派、非约束委派
- 组策略利用与横向移动:PTT、GPP泄露密码、组策略下发应用(针对比如Ping不通的主机)
- 金票:同KDC交互,但不同AS交互;
- 银票:不同KDC交互,直接访问Server。也就意味着,在KDC上没有日志,但需要解决Server上日志的问题;
四、权限维持
- Skeleton Key
- 金票、银票
- DSRM域后门
- 赋予域内普通用户DCSync权限
- 常见的Windows维持权限手段等
主要是思路,有一些还是值得借鉴的,大佬轻拍
加油 : )
|