可以自己写一个SSP,恶意SSP在系统登录的时候,获取到用户输入的明文密码 一、mimikatz 注入伪造的SSP 1、内存注入SSP C:\Users\Administrator.SEC\Desktop\x64>mimikatz.exe .#####. mimikatz 2.2.0 (x
一个Windows密码过滤DLL,安装了这个DLL后,在用户修改密码的时候会拦截用户输入的明文密码并保存到本地。 原理是在活动目录中,当用户输入新的密码时候,需要校验密码是否符合复杂性要求,如果密码符合要求,LSA就会调用rassfm.dll中的PasswordChangeNotify函数在系统中同
一、漏洞原理 新建一个机器账户,并把账户的 UserAccountControl 属性为 8192,8192 为一个特殊的属性标志,活动目录就会认为这个机器账户是域控,然后就可以使用这个机器账户进行 DCSync。 二、伪造域控攻击 先创建一个机器账户 (base) ┌──(root㉿Kali)-[
属性权限 member:拥有该属性的权限,可以将任意用户、组、机器加入到目标安全组中。 msDS-AllowedToActOnBehalfOfOtherIdentity:可以修改目标RBCD,进行攻击获取目标的权限。 拓展权限 DCSync:拥有该拓展权限,可以通过目录复制服务,获取任意用户密码Ha
活动目录使用AdminSDHolder,Protected Groups和Security Descriptor Propagator来保护特权用户和特权组不被恶意的修改或者滥用。 一、Protected Groups(受保护组) Active Directory 默认将一组关键的内置组(如 Dom
目录还原模式DSRM是Windows域控的安全模式启动选项,DSRM的用途是运行管理员在域环境出现崩溃时还原、修复、重建活动目录,DSRM账户其实就是域控上的本地administrator账户。 默认情况下,DSRM账户无法用于RDP或远程连接域控。 DSRM很少会被修改,所以可以通过修改DSRM密
每个账户都有独一无二的SID标识符,活动目标中对象的objectSid属性值就是SID。 如果将A域的用户迁移到B域,在B域的SID随之改变,导致迁移后的用户无法访问原来的资源。而SID History是为了域迁移场景设置的属性,他使得账户原本访问权限能有效克隆到另一个账号。在用户访问资源的时候,S
在域管情况下,可以在目标域控的LSASS内存注入特定的密码,就可以使用所设置的密码以任何身份登录,而用户还可以使用之前正常的密码登录。 一、Skeleton Key攻击 域控:Windows 2016 C:\Users\Administrator.SEC\Desktop\x64>mimikatz.e
具有管理员权限的攻击者创建一个恶意的域控,利用域控间正常同步数据的功能,将对象同步到恶意域控,实现域权限维权。 一、原理 活动目录是一个依赖于域控的服务,并于其他域控默认每15分钟使用运行在NTDS上名为KCC的服务进行同步。 1、在活动目录中新增域控 在活动目录中通过一些特殊的对象和一定的数据层级
假设被委派的服务B为krbtgt,而服务A是我们控制的一个服务账户或机器账户。配置服务A到服务B的RBCD,那么我们控制的账户就可以获得KDC服务的ST了(也就是TGT)。 获得KDC的ST后,就可以伪造任何权限用户的TGT,以此打造变种的黄金票据。 一、选择控制的用户 服务A可以是以下几类: 已经
