dll劫持去执行攻击载荷,从而实现权限提升,前提是得有写入权限
uac白名单中程序不弹提示,可以自动提权运行
会检查可执行文件的签名,系统检查可信任目录时候自动去掉空格,
满足三个条件才行
以通过创建计划任务实现横向移动
使用wmic或者reg命令注册表开启远程桌面服务
wmi的作用执行远程查询,创建远程进程,远程安装msi文件
哈西传递攻击:在ntml认证的第三步中生成response时候直接使用ntml哈希进行计算明文密码不参与计算过程,该方法直接取代获取明文密码或者破解哈希值的过程
哈希传递登录远程桌面要注意受限管理员组
使用影子账户进行权限维持
利用系统辅助功能进行teeth sethc.exe这样
当按下五次粘滞键的时候将启动程序
在拥有管理员权限的情况下按下五次实现未授权访问
权限维持:万能钥匙:所以域用户账号使用一个相同的密码认证,通过注入lsass.exe进程实现需要管理员权限,而且域控重启会失效
sid是指安全标识符,acl访问控制列表,acl使用sid标识用户唯一身份
可以将管理员的sid添加到其他用户的sid建立一个隐蔽的域后门
dcs可以从其他域控中获取信息但是只有可读权限不行
impacket中的secretsdump.py脚本支持导出hash然后通过卷影方式导出用户中的所有域用户的hash
在kerbors认证中不管有没有访问权限,只要tgt正确就会返回st
asrep位置的攻击:当没设置kerbors预身份验证的时候,可以任意伪造用户名请求票据,随后as会将用户名加密然后返回
黄金票据攻击:每个用户的票据都是krbtgt的ntml hash加密所生成的当你获得krbtgt的hash值的时候可以伪造任意票据
委派:在使用a时候b上有自己的数据这个时候简单方法就是要a代用户去请求b返回的信息
非约束委派的时候,服务会将用户的tgt保存在内存中,然后服务可以利用tgt以用户的身份访问任何用户可以访问的,该服务会将域管理员的tgt保存在内存中,获得其特权便可以轻松获取域控权限
云安全:通过接口进行逃逸

知识内容源于《内网渗透体系建设》