本文记录了如何在域环境中,面对强大的安全组件如微软ATP、Fortinet和CrowdStrike Falcon,使用PotitPetam进行完全绕开的安全渗透过程。通过信息收集、凭证降级、NTLM relay等方式,逐步获取域管理员权限,过程中涉及NTLM Hash抓取、降级处理、DCSync和PTH等技术,最终成功绕过监控组件。
Summary
实战与靶机环境差别很大,内网的微软ATP组件、Fortinet 与CS(CrowdStrike)的Falcon安全组件过于强大,很多工具都是根本无法使用的,免杀后会有各种问题.尤其是CS,不愧为北美最强EDR。
本地免去了隐蔽隧道联通外网搭建的过程,简单了一些,因为微软漏洞一直有专门的TSG打补丁,所以单独靠CVE难比登天。本文就这段时间的行动与思考做一个记录,Rspect!
Information collection
首先是常规的一些用户权限,域内环境等信息获取。测试账户是User Domain.
主机信息获取
systeminfo #在这里就遇到了问题,按理说域内主机打的KB都会记录在里面,但是我发现里面仅有5个补丁,说明windwos补丁是由DC与安全组件统一去打,并不会记录在域内的用户主机上.
tasklist #看到防护组件是falcon与Defender ATP,当然这属于多次一举,事先已经得到这些信息。
角色网络域信息
ipconfig /all #看到主机名与IP地址信息,DNS后显示域名xxx.org存在,确定Domain name.
net view /domain #直接报错。
net time /domain #显示出了domain,再通过nslookup查到IP地址,确认此账户的DC name。
用户信息
whoami /all # 查看一下权限,确认能不呢启动windows系统进程,powershell等。
net group "Domain Admins" /all #查询域管理员账户,这个比较关键,为后面DESync做铺垫
net group "Enterprise Admins" /domain #查询管理员用户组
net group "Domain Controllers" /domain #查询域控制器,查到光中国就55个域,着实是大公司了。
SPN查询服务信息
setspn -q */* | findstr "xxx" #查询服务信息,主要啊是去搜了LDAP,共享主机和管道的开启状态。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
