此攻击涉及为目标服务帐户的服务主体名称 (SPN) 请求 Kerberos 服务票证 (TGS)。此请求使用有效的域用户身份验证票证 (TGT) 为在服务器上运行的目标服务请求一个或多个服务票证。...原因是,默认情况下,PowerShell 远程处理使用“网络登录”进行身份验证。网络登录通过向远程服务器证明您拥有用户凭证而不将凭证发送到该服务器来工作(请参阅Kerberos和NTLM身份验证)。...为了解决这个问题,PowerShell 提供了 CredSSP(凭据安全支持提供程序)选项。使用 CredSSP 时,PowerShell 将执行“网络明文登录”而不是“网络登录”。...网络明文登录通过将用户的明文密码发送到远程服务器来工作。使用 CredSSP 时,服务器 A 将收到用户的明文密码,因此能够向服务器 B 进行身份验证。双跳有效!...GPO 包括以下设置: 拒绝从网络访问此计算机:本地帐户、企业管理员、域管理员 拒绝通过远程桌面服务登录:本地帐户、企业管理员、域管理员 拒绝本地登录:企业管理员、域管理员 注意:首先使用服务器配置进行测试
为攻击者控制的帐户(称为“黑客”,所以我不会忘记我使用的是哪个帐户)启用 Azure 访问管理后,此帐户可以登录到 Azure 订阅管理并修改角色。...或者 GA 会话令牌被盗,因为 GA 在其常规用户工作站上使用其 Web 浏览器(已被盗用)。 2. 攻击者使用此帐户进行身份验证,并利用帐户权限创建另一个用于攻击的帐户或使用受感染的帐户。...使用此帐户,攻击者转向 Azure 并在托管公司本地 Active Directory 域控制器的 Azure VM 上运行 PowerShell。...一旦设置了“Azure 资源的访问管理”位,它将保持设置状态,直到将设置切换为“是”的帐户稍后将其更改为“否”。 从全局管理员中删除帐户也不会删除此访问权限。...检测要点: 无法使用 PowerShell、门户或其他方法检测 Azure AD 用户帐户上的此设置。
可以使用getST.py程序执行S4U交换并以指定用户的身份获得指定服务的服务票证。...执行攻击 退出域控制器,并以User1身份登录Service1服务器。这模拟在环境中立足(攻击路径中的步骤1 )。...这是通过使用Service1的哈希值解密票证,将标志值的第二个位从0更改为1并重新加密票证来完成的。...当我们直接向立足用户授予权限时,用户通常将通过特权组的成员身份获得对一个或多个AD对象的写权限。用户不一定需要是域管理员。 ? 执行攻击 退出域控制器,并以User1身份登录Service1服务器。...让我们使用PowerShell Active Directory模块检查我们新创建的机器帐户。由于该模块尚不可用,因此我们将安装相应的功能,导入该模块,然后检查我们新创建的计算机帐户。
在较高级别上,客户端请求访问某些内容,身份验证服务器向客户端提出质询,客户端通过使用从密码派生的密钥对其响应进行加密来响应质询。...将加密的响应与身份验证服务器上存储的响应进行比较,以确定用户是否具有正确的密码。 WDigest有何作用?...实际上,这将防止用户(通常是管理员)在 RDP 进入受感染主机后从内存中读取他们的凭据。为防止凭据存储在远程计算机上,受限管理员更改了远程桌面协议,使其使用网络登录而不是交互式登录进行身份验证。...这个SID对于限制横向渗透的远程连接并没有任何实质的作用,它的主要作用是更方便的防止通过网络使用本地帐户登录。...对于防御人员来说我们可以通过将这两个SID对应的组加入组策略中的下列选项,从而限制攻击者能够从外部访问本地系统/服务: 拒绝从网络访问这台计算机拒绝通过远程桌面服务登录 ?
Kerberos认证过程使用SPN将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。...当找到该SPN记录后,用户会再次与KDC通信,将KDC发放的TGT作为身份凭据发送给KDC,并将需要访问的SPN发送给KDC。KDC中的TGS服务对TGT进行解密。...确认无误后,由TGS将一张允许访问该SPN所对应的服务的ST服务票据和该SPN所对应的服务的地址发送给用户,用户使用该票据即可访问MySQL服务。...解决办法: 可以使用工具SetSPN -S来手动注册SPN。但是这不是一个最好的方法,毕竟手工注册不是长久之计。如果SPN下次丢了,又要再次手动注册。...使用domain参数,将返回所有具有关联服务主体名称的用户帐户,也就是将返回所有SPN注册在域用户下的用户。 Import-Module .
有一个原始的 NT 方法(NetSessionEnum) 为任何经过身份验证的用户(“经过身份验证的”包括通过信任连接的帐户)提供从 Windows 服务器请求与其有会话的帐户的能力(包括帐户名称、帐户调用的计算机...如果它应该是一个服务帐户,它看起来真的像一个服务帐户:服务帐户通常需要各种奇怪的配置,并且没有与人相关的限制帐户。这通常是更容易配置的蜜罐帐户(并且不需要关联的常规用户帐户)。...已至少登录一次(最好更多):非活动帐户看起来很可疑,尤其是在所有其他帐户定期登录时。在受保护的服务器上配置计划任务以每天/每周使用此帐户登录以增加合法性。...有几种方法: 将蜜罐帐户添加到具有真实权限的特权 AD 组,并确保其具有长而复杂的密码。一个简单的方法是打开帐户,选中用户选项“使用智能卡登录”,单击应用,然后取消选中应用。...Kerberoast 蜜罐帐户(服务帐户或管理员帐户):监视此帐户的 Kerberos 服务票证请求。
Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。...如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。 在 Kerberos 身份验证服务使用 SPN 对服务进行身份验证之前,必须在服务实例用于登录的帐户对象上注册 SPN。...只能在一个帐户上注册给定的 SPN。 对于 Win32 服务,服务安装程序在安装服务实例时指定登录帐户。...然后,安装程序将编写 SPN,并作为帐户对象的属性写入 Active Directory 数据库中。 如果服务实例的登录帐户发生更改,则必须在新帐户下重新注册 SPN。...使用SetSPN注册SPN 在客户端使用 SPN 对服务实例进行身份验证之前,必须在服务实例上将用于登录的用户或计算机帐户注册 SPN。 通常,SPN 注册由通过域管理员权限运行的服务安装程序来完成。
从 Windows Server 2008 上的修补程序KB961320开始,现在可以选择将 DC 上的 DSRM 密码与特定域帐户同步。...将 DSRM 帐户密码与域帐户(2k8 和更新版本)同步: 在您以域管理员身份登录的提升的 CMD 提示符中,运行: NTDSUTIL SET DSRM PASSWORD SYNC FROM DOMAIN...这意味着一旦攻击者拥有域控制器(或 DC)的 DSRM 密码,就可以使用此帐户以本地管理员身份通过网络登录域控制器。...和更新版本) 将注册表项 DsrmAdminLogonBehavior 设置为 1 停止 Active Directory 服务 在控制台上使用 DSRM 凭据登录。...2:您始终可以使用 DSRM 管理员帐户(不建议使用此设置,因为密码策略不适用于 DSRM 管理员帐户)。
作为管理员,选择一个以 SYSTEM 身份运行的具有适当访问令牌的进程(例如services.exe)并使用它作为父进程生成一个子进程。...为了使这更容易,NtObjectManager实现了Start-Win32ChildProcess命令,其工作方式如下: PS> $p = Start-Win32ChildProcess powershell...解决此问题的一种方法是找到所有可能的安全资源并添加服务帐户。这不是很可靠,错过一个资源,它可能仍然无法工作,或者它可能在某个不确定的时间失败。...相反,我们做操作系统所做的事情,我们需要使用登录会话 SID 创建服务令牌,这将授予我们访问会话资源的权限。...---- --- NT AUTHORITY \LogonSessionId_0_41106165 S-1-5-5-0-41106165 现在使用以下命令创建本地服务令牌(或网络服务、IUser 或任何服务帐户
p=541 防: 安装检查KB3011780的安装 SPN扫描 Kerberoast可以作为一个有效的方法从Active Directory中以普通用户的身份提取服务帐户凭据,无需向目标系统发送任何数据包...它由服务类,主机名和端口组成。在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。...大多数Active Directory管理员使用用户帐户登录到其工作站,然后使用RunAs(将其管理凭据放置在本地工作站上)或RDP连接到服务器运行Mimikatz读取密码,收集密码尝试登录管理员机器一般只要域管理员登录过的机器抓取都可以获取域控了...此命令也可以通过WMI或PowerShell的远程执行。 ? ?...使用HASH远程登录域控 ? DSRM账户是域控的本地管理员账户,并非域的管理员帐户。所以DSRM密码同步之后并不会影响域的管理员帐户。
,可以在AD环境内部或外部运行,第二个工具是ntlmrelayx工具的扩展,此扩展允许攻击者将身份(用户帐户和计算机帐户)转发到Active Directory,并修改域对象的ACL Invoke-ACLPwn...Exchange服务器的计算机帐户,在默认配置中它是Exchange Windows Permissions组的成员,如果攻击者能够说服Exchange服务器对攻击者的机器进行身份验证,例如:使用mitm6...,而无需从系统中转储任何密码或机器帐户哈希,从NT Authority\SYSTEM的角度连接到攻击者并使用NTLM进行身份验证,这足以对LDAP进行身份验证,下面的屏幕截图显示了用psexec.py调用的...,事件ID为5136,可以使用PowerShell查询Windows事件日志,因此这里有一个从ID为5136的安全事件日志中获取所有事件的一行程序 [code lang=powershell] Get-WinEvent...,所以Windows 10中有一个PowerShell cmdlet,ConvertFrom-SDDL4,它可以将SDDL字符串转换为可读性更好的ACL对象 如果服务器运行Windows Server
Kerberos 是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和 SPN,则 Kerberos 身份验证服务器将授予一个票证以响应该请求。...Kerberos 认证过程使用 SPN 将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。...在使用 Kerberos 身份验证的网络中,必须在内置计算机帐户或域用户帐户下为服务器注册 SPN。对于内置机器帐户,SPN 将自动进行注册。...整个过程比较简单,我们需要注意的是,服务票据会使用服务账户的哈希进行加密,这样一来,Windows域中任何经过身份验证的用户都可以从 TGS 处请求 ST 服务票据。...加密方式改为 RC4_HMAC_MD5,就无法尝试使用 tgsrepcrack.py 来破解密码。
此示例创建一个名为“demo”的新用户,但您应该使用您喜欢的用户名替换它: adduser demo 从帐户密码开始,您将被问到几个问题。 输入一个强密码,如果您愿意,还可以选择填写任何其他信息。...第四步 - 添加公钥认证(推荐) 保护服务器的下一步是为新用户设置公钥身份验证。设置此项将通过要求私钥SSH密钥登录来提高服务器的安全性。...接下来,系统将提示您输入密码来保护密钥。您可以输入密码短语或将密码短语留空。 注意:如果将密码留空,则可以使用私钥进行身份验证,而无需输入密码。如果输入密码短语,则需要私钥和密码短语才能登录。...使用密码短语保护密钥更安全,但这两种方法都有其用途,并且比基本密码身份验证更安全。 这会在localuser的主目录的.ssh目录中生成私钥id_rsa和公钥id_rsa.pub。...这通常是一种更安全的设置,因为我们现在可以通过普通用户帐户访问我们的服务器,并在必要时升级权限。
而这也是我们将本文中讨论的内容 委派介绍 Kerberos委派使服务能够模拟计算机或用户以便使用用户的特权和权限参与第二个服务,为什么委派是必要的经典例证呢,例如:当用户使用Kerberos或其他协议向...web服务器进行身份验证时,服务器希望与SQL后端或文件服务器进行交互 Kerberos委托的类型: 不受限制的委托 受约束的委托 RBCD(基于资源的受限委派) SPN介绍 Kerberos身份验证使用...SPN将服务实例与服务登录帐户相关联,这允许客户端应用程序请求服务对帐户进行身份验证,即使客户端没有帐户名 无约束委派 该功能最初出现在Windows Server 2000中,但为了向后兼容它仍然存在...,如果用户请求在具有不受约束的委托的服务器集上的服务的服务票据时,该服务器将提取用户的TGT并将其缓存在其内存中以备后用,这意味着服务器可以冒充该用户访问域中的任何资源 在计算机帐户上,管理员可以为不受限制的委派设置以下属性...AD用户和计算机->计算机->信任此计算机来委派任何服务 无约束委托的主要特征是: 通常该权限授予运行IIS和MSSQL等服务的计算机,因为这些计算机通常需要一些到其他资源的后端连接 当被授予委派权限时这些计算机会请求用户的
组管理服务帐户 (GMSA) 创建用作服务帐户的用户帐户很少更改其密码。组托管服务帐户 (GMSA)提供了一种更好的方法(从 Windows 2012 时间框架开始)。密码由 AD 管理并自动更改。...组管理服务帐户 (GMSA) 的要点: 由 AD 管理的 GMSA 密码。 托管 GMSA 服务帐户的计算机从 Active Directory 请求当前密码以启动服务。...,我们可以看到有一个服务在 GMSA 的上下文下运行(我在这里作弊并配置了 Windows License Manager Service 以使用此帐户启动)。...Microsoft 将 GMSA 凭证加载到 LSASS 中,但似乎没有使用它。...在这里,我使用 PSEXEC 生成在本地 SYSTEM 帐户的上下文下运行的命令 shell。一旦以 SYSTEM 身份运行,我们就可以执行如上所示的相同操作。
非常有用,如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机,则授予访问权限,就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员!...即使您部署了 LAPS 或其他一些本地管理员帐户密码管理解决方案,仍然建议安装KB2871997(如果需要)并配置组策略以阻止本地帐户通过网络进行身份验证。...使用“拒绝从网络访问此计算机”和“拒绝通过远程桌面服务登录”设置在组策略中配置此 SID 可防止本地帐户通过网络连接(对于工作站,请在部署到服务器之前仔细测试)。...本地管理员密码解决方案 (LAPS) 为在域中的每台计算机上使用具有相同密码的通用本地帐户提供了解决方案。LAPS 通过为域中每台计算机上的通用本地管理员帐户设置不同的随机密码来解决此问题。...Fat 客户端 UI 和 PowerShell 模块只需要安装在将管理 LAPS 的系统上,其中包括那些将访问密码的系统。 GPO 组件用于部署和管理 LAPS GPO。
使用域Kerberos服务帐户(KRBTGT)对黄金票证进行加密/签名时,通过服务帐户(从计算机的本地SAM或服务帐户凭据中提取的计算机帐户凭据)对银票进行加密/签名。...我们可以破解服务帐户密码,而无需拿到管理员的账号密码哈希。我们通过在主机中使用服务帐户请求TGS票证多项服务。从内存中导出TGS票证,然后破解就可以。...5.2 实战手法 1.SPN扫描具有服务帐户的SQL Server 2.确定目标之后,我们使用PowerShell请求此服务主体名称(SPN)的服务票证。...tips: 由于服务帐户通常在许多企业中被过度使用,并且密码通常很弱,因此这是我们从域用户转到域管理员的简便方法。...默认情况下,Active Directory中需要预身份验证。但是,可以通过每个用户帐户上的用户帐户控制设置来控制此设置。
防守方通常会忽略的一种方法——使用蜜罐帐户。...这是攻击者在进行Kerberoasting攻击时将看到的内容,因此重要的是使其看起来像合法的东西,例如惰性sys管理员已将其放入Domain Admins组中的MSSQL服务帐户。...如果您拥有SIEM或使用SOC管理的服务,则应该已经捕获了这些事件,并且可以创建自定义警报,但是对于此博客文章,我们将说明如何在没有其他服务或产品的情况下识别此活动。 ?...创建一个自定义事件视图,以识别何时为我们的蜜罐用户帐户请求Kerberos服务票证。这可以通过使用以下包含我们新创建的帐户的XPath查询来完成。...在最后一步中,我们将操作设置为启动powershell.exe,但是您应该将其更改为启动PowerShell脚本,该脚本通过电子邮件向管理员发送电子邮件,说明正在进行中的恶意活动也将禁用该帐户。 ?
此属性控制用户是否可以通过Kerberos模拟登录(几乎)域中的任何计算机。通过中继凭证可以实现这一切。我在第一部分中演示了mitm6,所以我将在这里再次使用它,但是以不同的方式传递响应。...此属性控制用户是否可以通过Kerberos模拟登录(几乎)域中的任何计算机。通过中继凭证可以实现这一切。我已经在上文中演示了mitm6的使用方法,所以我将在这里再次使用它,但是以不同的方式传递响应。...从文章的角度来看,这似乎有点延伸,但实际上,特权帐户非常普遍,找到一个人帐户然后登录到另一个人工作站并阅读他们的东西并不罕见。...我从哪里开始使用PowerSploit?如果你想做一些恶意的事情,它有一个powershell模块。在搜索密码或任何字符串的情况下,PowerView是您的好助手。...此脚本结合了我经常使用的脚本并自动运行我在这些脚本中使用的功能,将结果输出到zip文件中。
这些帐户创建为域用户帐户并添加到目标服务器的本地管理员组中。...注释 如果为安装创建特定帐户,则此帐户必须是 Microsoft SQL Server 的“sysadmin”服务器角色的成员,但还必须具有主数据库访问权限。...如果将 SQL Server 身份验证设置为混合模式,然后尝试在操作数据库上添加本地 SQL Server 登录名,则 Data Access 服务将无法启动。...要使用 Windows PowerShell cmdlet 来管理 UNIX 和 Linux 计算机,需要 Windows PowerShell 版本 3.0。...使用“以管理员身份运行”选项打开命令提示符窗口,然后运行以下命令:%WINDIR%\Microsoft.NET\Framework64\v4.0.30319\aspnet_regiis.exe -r
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
