当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再加上域帐户krbtgt的密码基本不会更改,即使域管修改了密码,攻击者依然可以通过黄金票据获取域管理员权限。...(1)利用mimikatz在域控服务器导出krbtgt的SID值和哈希值。...lsadump::dcsync /domain:evil.com /user:krbtgt (2)在域用户的服务器上使用mimikatz伪造TGT。...4624事件:记录了黄金票据伪造的帐户名ceshi在192.168.28.20通过kerberos进行网络登录,这里的帐户与SID并不一致,500代表了域管帐户,SID以500结尾可作为特征,通过帐户与...SID的对应关系,可以找到伪造的用户,但是如果用户伪造的是administrator用户就可以绕过检测,所以需要把登录IP地址作为判定条件,收集域管理员登录IP地址后,识别出异常登录IP。
01 用户帐户User Accounts 活动目录用户帐户可以代表一个物理实体,如个人。用户帐户就是在域内的用户帐户,与本地用户帐户存储在本地机器不同的是,域用户帐户存储在活动目录数据库中。...此后,这些帐户具有域范围的访问权限,访问时加上域前缀即可,并且与域内机器或独立服务器的默认本地用户帐户完全独立。...krbtgt有一个著名的RID为502,因此,krbtgt的安全标识符SID具有以下格式的著名SID:S-1-5--502。如图所示,是域krbtgt帐户的一些属性。...UPN的格式与电子邮件账号相同,在整个林内,这个名称必须是唯一的。UPN并不会随着帐户被移动到其他域而改变。 用户SamAccountName:如 xie\zhangsan 。这是旧格式的登录账号。...用户还必须在其计算机上安装一个智能卡读卡器和该智能卡的有效个人识别号(PIN)。 Account is trusted for delegation 该帐户配置了委派属性。
使用域Kerberos服务帐户(KRBTGT)对黄金票证进行加密/签名时,通过服务帐户(从计算机的本地SAM或服务帐户凭据中提取的计算机帐户凭据)对银票进行加密/签名。...(同一个域下得sid一样) 我这里在cobalt strike中演示 空本地票据缓存 kerberos::purge #清理本地票据缓存 kerberos::list #查看本地保存的票据 伪造白银票据并导入...监视TGT票证的生存期,以获取与默认域持续时间不同的值。...破解与票证(文件)相关的服务帐户的密码。 tips: 由于服务帐户通常在许多企业中被过度使用,并且密码通常很弱,因此这是我们从域用户转到域管理员的简便方法。...对特定用户进行攻击 Rubeus.exe asreproast /user:TestOU3user 6.2 防御手法 识别不需要预身份验证的帐户 免受此类攻击的明显保护是找到并删除设置为不需要Kerberos
安全主体类型 用户账号 本地用户 域用户 组账号 用户账号 用户账号的认证 用户账号是对计算机用户身份标识,。每个使用计算机的人,必须凭借他的用户账号密码才能够进入计算机,进而访问计算机里面的资源。...),可以在网络中的任意计算机上登陆,使用范围是整个网络 Windows 默认账户: 与使用者关联的用户帐户 Administrator(管理员用户) 默认的管理员用户 Guest(来宾用户) 默认是禁用的...也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限 Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。...所有添加的本地用户帐户者自动属于Users组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。...如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
SAM)数据库,并转储本地帐户的凭据.这用于转储Windows计算机上的所有本地凭据....AD计算机帐户的上下文中运行的服务.与kerberos::list不同,sekurlsa使用内存读取,并且不受密钥导出限制.sekurlsa可以访问其他会话(用户)的票证....(PAC),并使用域的Kerberos服务帐户(KRBTGT)进行签名和加密,该帐户只能由KRBTGT帐户打开和读取..../rc4 –服务(计算机帐户或用户帐户)的NTLM hash 白银票据默认组: 域用户SID:S-1-5-21 -513 域管理员SID:S-1-5-21 -...为了成功创建此Silver Ticket,需要通过AD域转储或通过在本地系统上运行Mimikatz来发现adsmswin2k8r2.lab.adsecurity.org的AD计算机帐户密码哈希,
、创建和删除 01 用户帐户 用户帐户是对计算机用户身份的标识,本地用户帐户、密码存在本地计算机上,只对本机有效,存储在本地安全帐户数据库 SAM 中,文件路径:C:\Windows\System32\...,一般不需更修改其权限 与使用者关联的用户帐户 Administrator(管理员用户) 默认的管理员用户 Guest(来宾用户) 默认是禁用的 Windows 内置用户账户 权限:System >...本地服务):预设的拥有最小权限的本地账户 Network Service (网络服务):具有运行网络服务权限的计算机账户 查看、创建和删除账户 使用命令查看、创建和删除账户 net user ...也就是说,域上的系统管理员在这台计算机上也具备着系统管理员的权限 Guests 组是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用,该组的成员无法永久地改变其桌面的工作环境。...所有添加的本地用户帐户者自动属于Users组。如果这台计算机已经加入域,则域的Domain Users会自动地被加入到该计算机的Users组中。
Windows系统使用组的概念来管理用户。组是用户帐户、计算机帐户和其他组的集合;组可以从安全的角度作为单个单元进行管理。组可以是基于活动目录的组,也可以是针对特定计算机的本地组。...wmic group get name,sid 如图所示,查询本地组对应的SID。 可以将本地用户帐户、域用户帐户、计算机帐户和安全组添加到本地组中。...但是不能将本地组添加到域组中。 下面我们来看看一些比较常见的本地组与描述。...域组 在活动目录中,除了有本地组的概念外,还有域组的概念。域组用于将用户帐户、计算机帐户和其他组收集到可管理的单元中。对组进行管理而不是对单个用户进行管理有助于简化网络维护和管理。...通过使用安全组,可以做如下: 为活动目录中的安全组分配用户权限。 为资源上的安全组分配权限。 并且与通讯组一样,安全组也可以用作电子邮件实体。
,与当前进程相关的用户帐户的安全组的特权列表,代表系统可以使用令牌使用户可以访问那些安全对象,及控制用户可以执行那些相关系统操作,通常用于本地登录及远程RDP登录的场景。...(2)SID结构版本号组成一个48位标识符机构值(一般代指颁发机构,主要用于标识发布SID授权,通常为本地系统或域)。可变数量的32位子机构值(子机构代表相对于该颁发机构的委托人)。...在Windows操作系统中其实也内置了一些本地SID和域SID,例如Domain User组,用于代表域中所有的用户账户,其SID为S-1-5-21-domain-513;还有Everyone组,代表所有的用户账户...如果我们要确认登录用户是否是特定已知组的成员,就需要使用AllocateAndInitializeSid函数为已知组构建SID,用于标识本地计算机的管理员组的众多所知SID,然后使用EqualSID函数将...通过验证修订号在已知范围内并且子授权机构的数量小于最大数量,来测试SID的有效性LookupAccountName检索与指定帐户名对应的SIDLookupAccountSid检索与指定的SID对应的帐户名
AdminSDHolder SID History后门 技术展开 2.1 DSRM 原理 在每个域控机器下都有一个DSRM帐户,为DC的本地管理员账户,这个帐户的作用就是用来设定登陆服务还原模式...--DSRM账户是域控的本地管理员账户,并非域的管理员帐户,存储在SAM文件中,所以DSRM密码同步之后并不会影响域的管理员帐户,另外,在下一次进行DSRM密码同步之前,NTLM的值一直有效,且更改域内的...获取本地SAM 数据库的密码: token::elevate lsadump::sam 发现hash已经与域用户admin hash 同步了 修改DSRM登陆方式,允许DSRM帐户远程访问:...1:只有当本地AD、DS服务停止时,才可以使用DSRM管理员账号登录域控。 2:在任何情况下,都可以使用DSRM管理员账号登录域控。...: 值得注意的是,基于资源的委派,必须是委派双方需资源,例如机器帐户,服务帐户什么的,不能是域用户,下面尝试使用设置域用户帐户设置基于资源的委派,发现能设置,但是实际上是用不了 获取test1域用户的sid
一旦攻击者拥有对域控制器的管理员访问权限,就可以使用 Mimikatz 提取 KRBTGT 帐户密码哈希。...金票“限时” 与 Golden Tickets 一样令人难以置信的是,它们被“限制”在欺骗当前域的管理员权限。当 KRBTGT 帐户密码哈希在属于多域 AD 林的子域中公开时存在限制。...由于 Mimikatz 通过相对标识符 (RID) 将组成员身份添加到票证中,因此在 Kerberos 票证中将 519(企业管理员)RID 标识为在其中创建它的域的本地(基于 KRBTGT 帐户域)。...当用户使用新帐户登录到 DomainB 时,DomainA SID 与确定访问权限的 DomainB 用户组一起被评估。这意味着可以将 SID 添加到 SID 历史记录以扩展访问权限。...(这可能是一件大事,因为通用组通常在多域 AD 林中经常使用)。
SAM_USER,SID对应的是帐户的SID,通过日志记录可以看到用户test查看了域用户bypass成员的详细信息。...检测示例: 04、定位域管理员 (1)使用BloodHound分析域的攻击路径 BloodHound是一款域渗透分析工具,可以使用BloodHound识别高度复杂的域攻击路径,只需要在服务器上运行SharpHound.exe...日志分析:在使用SharpHound收集信息过程中,产生多条5145的事件,服务端的特征重点关注访问的相对名称包含srvsvc、wkssvc、winreg、samr等,对应的事件还记录了请求的用户帐户test...(3)PsLoggedOn PsLoggedOn可以查看本地登陆的用户和通过本地计算机或远程计算机资源登陆的用户。...(4)检测策略:监测5145事件,重点关注访问相对名称包含srvsvc,wkssvc,winreg,samr,lsarpc的事件,识别出可能的探测行为。 检测示例:
0x00 本地域环境 vm单独添加一个网卡用来进行域环境隔离。 ?...AD DS 主要使用其中一些默认隐藏的默认对象。如图: 域redteam.local:层次结构。 ? 内置容器:存放默认组。 ? 计算机容器:在域中创建的新计算机帐户的默认位置 ?...域控制器:域控机器在的默认组 ? **外部安全主体容器:**在本地 AD DS 域中添加的本地 AD DS 域外部的域中的受信任对象的默认位置。 托管服务账户容器: 托管服务帐户的默认位置。...访问令牌包含标识用户帐户和用户所属的任何组帐户的安全描述符。令牌还包含用户或用户组拥有的权限列表。当进程尝试访问安全对象或执行需要特权的系统管理任务时,系统使用此令牌来识别关联的用户。...安全描述符是与被访问对象关联的,它包含有这个对象的所有者的sid,以及一个访问控制列表(ACL)。
对于加入域的计算机,身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明(例如证书、密码或 PIN)相关联的数字文档。...通过安全通道将用户的凭据传递给域控制器,并返回用户的域 SID 和用户权限。...结合支持的硬件,凭据提供程序可以扩展 Windows,使用户能够通过生物识别(指纹、视网膜或语音识别)、密码、PIN 和智能卡证书或第三方开发人员创建的任何自定义身份验证包和架构登录....当与网络中的其他计算机通信时,LSA 使用本地计算机域帐户的凭据,与在本地系统和网络服务的安全上下文中运行的所有其他服务一样。...此外,LSA 维护有关计算机本地安全的所有方面的信息(这些方面统称为本地安全策略),并为名称和安全标识符 (SID) 之间的转换提供各种服务。安全系统进程会跟踪在计算机系统上生效的安全策略和帐户。
在跨信任进行身份验证之前,Windows必须首先确定用户,计算机或服务所请求的域是否与请求帐户的登录域具有信任关系,为了确定信任关系,Windows安全系统计算接收访问资源请求的服务器的域控制器与请求资源请求的帐户所在域中的域控制器之间的信任路径...这些包括身份验证协议,网络登录服务,本地安全机构(LSA)和Active Directory中存储的受信任域对象(TDO)。...,用于维护有关系统上本地安全所有方面的信息(统称为本地安全策略),并提供各种服务来在名称和标识符之间进行转换。...,我们仍然可以通过可以使用sidHistory方法来获得信任。..." "lsadump::trust /patch" 使用mimikatz创建信任票据: mimikatz “kerberos::golden /domain:当前域名 /sid:当前域sid /sids
最近在公司搭建AD域控制器,发现无法在计算机真正添加域用户,也就是添加的用户虽然可以在本地登录,但是无法远程登录,尝试多种方法都无法解决,而最终原因居然是虚拟机导致的服务器的SID冲突。...(图2) 无法登录,甚至使用域管理员,也无法登录,看来必须去远程服务器上增加一个域用户到本地用户组上面去: ?...再次回到远程服务器上,打开Administrators组,发现之前添加的域用户没有添加进去。 重复上面的操作,问题依旧,并且域用户无法添加到本地任何用户组。...SID 的全称是“安全标识符(Security Identify)”,是为域或本地计算机中创建的每个帐户分配的唯一 ID 字符串(例如,S-1-5-21-1454471165-1004336348-1606980848...实际上,计算机使用 SID 来跟踪每个帐户: 如果重命名管理员帐户,计算机仍然知道哪个帐户是管理员帐户。 这是因为 SID 不同于名称,它永远不会更改。
用户帐户 用户帐户是对计算机用户身份的标识,本地用户帐户、密码存在本地计算机上,只对本机有效,存储在本地安全帐户数据库 SAM 中,文件路径:C:\Windows\System32\config\SAM...Windows 默认账户 用于特殊用途,一般不需更修改其权限 与使用者关联的用户帐户 Administrator(管理员用户) 默认的管理员用户 Guest(来宾用户) 默认是禁用的 Windows...该账户必须仅用于需要管理凭据任务 强烈建议Administrator设置为强密码 永远不可以从管理员组删除Adminsitrator账户,但是可以重命名或禁用该账户 Guests 组 是提供给没有用户帐户但是需要访问本地计算机内资源的用户使用...在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。...如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
调查结果(MAC III - 行政敏感) 查找 ID 严重性 标题 描述 V-8534 高的 不同分类级别的 DoD 目录服务之间的互连必须使用经批准可与跨分类信任一起使用的跨域解决方案。...V-8538 中等的 必须将安全标识符 (SID) 配置为仅使用直接受信任的外部或林信任的身份验证数据。...V-36438 中等的 域系统上的本地管理员帐户不得共享相同的密码。 域系统上的本地管理员帐户必须使用唯一密码。如果域系统受到威胁,请为域系统上的本地管理员帐户共享相同的密码......V-36434 中等的 管理员必须拥有专门用于管理域工作站的单独帐户。 作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于......V-36433 中等的 管理员必须拥有专门用于管理域成员服务器的单独帐户。 作为系统管理员的人员必须仅使用具有必要最低权限级别的帐户登录域系统。只有系统管理员帐户专门用于...
‘DS-Replication-Get-Changes-All’ = 1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 fwm1Ys.png 利用条件 1.域控本地管理组用户(...文件中 计算机帐户的密码默认每30天自动更新,密码长度为120个字符,所以说,即使获得了计算机帐户密码的hash,也很难还原出计算机帐户的明文口令 关闭域内计算机帐户密码自动更新的两种方法(适用于域内主机...,如下图 fwmB0w.png 2.使用DCSync导出所有帐户的hash (1)使用mimikatz 在域控制器上使用mimikatz导出域内所有用户的hash mimikatz.exe “lsadump...@192.168.1.1 secretsdump.py的实现原理: 使用计算机帐户hash通过smbexec或者wmiexec远程连接至域控制器并获得高权限,进而从注册表中导出本地帐户的hash,同时通过...表示域的sid, /rc4表示计算机帐户的NTLM hash /user:krbtgt表示伪造成用户krbtgt,生成票据 2.使用secretsdump python2 secretsdump.py
4614 安全帐户管理器已加载通知包。 4615 LPC端口使用无效 4616 系统时间已更改。...策略已更改 4714 加密数据恢复策略已更改 4715 对象的审核策略(SACL)已更改 4716 可信域信息已被修改 4717 系统安全访问权限已授予帐户 4718 系统安全访问已从帐户中删除...4738 用户帐户已更改 4739 域策略已更改 4740 用户帐户已被锁定 4741 已创建计算机帐户 4742 计算机帐户已更改 4743 计算机帐户已删除 4744 已创建禁用安全性的本地组...历史记录已添加到帐户中 4766 尝试将SID历史记录添加到帐户失败 4767 用户帐户已解锁 4768 请求了Kerberos身份验证票证(TGT) 4769 请求了Kerberos服务票证...这可能是由于使用共享部分或其他问题 6416 系统识别出新的外部设备。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
