CIS2019-域权限维持方法浅析-终稿-20191125终（22页）.pdf

1、域权限维持方法浅析 IFO 安全研究员金山云 前情提要&本集简介 Golden Ticket Silver Ticket SID History Directory Service Restore Mode Malicious Security Support Provider Hook PasswordChangeNotify Skeleton Key DCShadow Group Policy Object Access Control Lists 基础概念 Active Directory DNS&LDAP&Kerberos Kerberos Overview TGT&TGS Kerbe

2、ros&PAC Kerberos&SPN Kerberos Delegation 历史漏洞 GPP(MS14-025)GoldenPAC(MS14-068)PrivExchange(SSRF&NTLM Relay)NTLM Tampering(Drop The MIC)&RBCD Mitm6&NTLM Relay&Kerberos Delegation 域安全浅析-基础概念及历史漏洞分析 https:/ Golden Ticket 正常Kerberos认证流程 金票据认证流程 Golden Ticket 利用金票据可以访问域内任意服务。需要修改两次krbtgt帐户密码才能完全修复。/domai

3、n 域名 /sid 域 SID /krbtgt KRBTGT帐户的NTHash/id 帐户ID(可伪造)Silver Ticket 正常Kerberos认证流程 银票据认证流程 Silver Ticket/target 运行目标服务的主机名(FQDN)/service 服务类型，比如cifs,http,mssql/rc4 运行目标服务的帐户NTHash(computer account or user account)通常目标服务丌进行PAC校验，所以TGS中的PAC可以任意伪造，比如声称自己属于域管理员组。仅能访问指定服务，但是无需不域控进行交互，所以更难以现 Domain Users(51

4、3)Domain Admins(512)Schema Admins(518)Enterprise Admins(519)Group Policy Creator Owners(520)SID History Default Domain Administrator(RID 500)每个用户帐户都有一个关联的安全标识符(SID)，用于跟踪该帐户在连接到资源时所具有的访问权限，SID历史记录是为了支持域迁移所设计的属性。SID历史记录在同一个域中也适用，普通用户可以被授予Domain Admin权限，而无需成为Domain Admins的成员。1 2 3 SID History-Golden Ti

5、cket Now More GOLDEN!Enterprise Admins(RID 519)Directory Service Restore Mode(DSRM)DSRM密码实际上是指域控服务器的本地管理员密码。在安装域控的时候设置，很少更改。修改域控上的注册表设置，通过hash传递攻击，可获取域控权限。PowerShell New-ItemProperty“HKLM:SystemCurrentControlSetControlLsa”-Name“DsrmAdminLogonBehavior”-Value 2-PropertyType DWORD 该注册表项默认丌存在 DSRM-Pass

6、The Hash&DCSync NTLM认证 NTLM认证 Malicious Security Support Provider(SSP)mimilib.dll 复制到 c:windowssystem32，注册表添加mimilib:HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity Packages(重启域控生效)或者利用Mimikatz misc:memssp patch lsass.exe进程(无需重启系统)。可自定义密码文件至域控的共享目录(SYSVOL)，任意域用户均可访问。H