0x00 前言
上一篇 <滲透小記 - 中繼和委派的實戰利用> 我們介紹了 WPAD+中繼 的利用,對同一子網段下的用戶進行投毒,欺騙認證進行中繼攻擊。本文介紹從另一個角度來介紹 NTLM 中繼的實戰案例,希望對各位看客有所幫助。
0x01 背景
通過某些手段拿到了目標的外網的某工作平臺權限,目標中的一些員工每天會訪問該平臺,但是該平臺並不在域中。通過抓取平臺流量,獲取了1組賬號可以通過VPN撥入目標內網(VPN採用域認證),但是VPN 給分配的子網掩碼爲 255.255.255.255,無法再像上一篇文章一樣進行投毒,域內也沒有可以直接利用的漏洞,此時該如何進行攻擊呢? 整理一下我們現在有的東西:
*
一個普通域用戶
*
一個員工會訪問的外網平臺
*
一個內網環境的接入點(VPN)
0x02 構建攻擊路線
如果想把用戶的 NTLM 認證中繼到 LDAP\LDAPS,需要用戶發出的認證請求是不能觸發NTLM簽名的
//TODO 簽名的區別
*
那什麼時候瀏覽器會自動幫我們認證呢?
//TODO 認證對照表
*
如何添加DNS?
//TODO 詳細說明截圖
我們來看詳細的 DACL
默認情況下 任何認證用戶(Authenticated Users),都用 Create all child object 的權限。換句話說,任何一個域用戶默認情況下都可以添加 DNS 到 ADIDNS 區域。到此我們的攻擊路線就清晰了:
1.用域用戶添加一臺機器 fox$(用於基於資源的約束委派的利用)
2.用域用戶向域中添加一條 DNS 記錄 unicodesec 指向公網 vps
3.在拿到外網系統的某個頁面中插入 http://unicodesec
4.掛好 VPN 做好中繼回域控的線路
5.等待用戶認證,高權用戶配置DCSYNC,低權用戶配置基於資源的約束委派
6.完成攻擊
實踐
impacket 套件工具 addcomputer.py
impacket 套件工具 ntlmrelayx.py (寬字節修改版)
Powermad https://github.com/Kevin-Robertson/Powermad
參考
Beyond LLMNR/NBNS Spoofing – Exploiting Active Directory-Integrated DNS https://blog.netspi.com/exploiting-adidns/
