随笔分类 - 10-安全运营笔记
elk日志分析、splunk
摘要:以域控为基础架构,通过域控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。 01、攻击篇 针对域控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD域攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把域环境下众多且繁杂的
阅读全文
摘要:01、简介 假设服务账号配置了到域控的约束性委派,当攻击者获取了服务账号,可以作为变种黄金票据,用作后门权限维持。 基于AD Event日志监测msDS-AllowedToDelegateTo属性的修改,从而发现可疑的约束委派攻击。 02、利用方式 (1)通过powershell添加test用户到k
阅读全文
摘要:01、简介 攻击者在获取到域控权限后,可以利用基于资源的约束委派实现后门,通过对krbtgt用户设置委派属性,以实现达到维持权限的目的。基于AD Event日志监测msDS-AllowedToActOnBehalfOfOtherIdentity属性的修改,从而发现可疑的基于资源的约束委派攻击。 02
阅读全文
摘要:01、简介 AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。如果攻击者能完全控制Admi
阅读全文
摘要:01、简介 每个用户都有一个关联的安全标识符(SID),SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。当攻击者获得了域管
阅读全文
摘要:01、简介 Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作手法,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录。另外,它只存在于内存中,如果域控制器重启,注入的
阅读全文
摘要:01、简介 每个域控制器都有一个目录还原模式(DSRM)帐户,它的密码是在安装域控时设置的,实际上它对应的就是sam文件里的本地管理员“administrator”,基本很少会被重置,因此有着极强的隐蔽性。攻击者通过获取域控的DSRM密码,就可以使用帐户通过网络登录到域控服务器,从而达到权限维持的目
阅读全文
摘要:01、简介 当攻击者获得内网某台域内服务器的权限,就会以此为起始攻击点,尽可能地去收集域的信息,以获取域控权限作为内网的终极目标。例如,攻击者会在内网中收集域管理员用户列表和特定敏感用户的信息,通过定位域管理员以找到最佳攻击路径,从而拿到域管理员权限。 针对域内信息探测的行为,是攻击者入侵的前兆,基
阅读全文
摘要:01、简介 黄金票据(Golden Ticket)是基于Kerberos认证的一种攻击方式,常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再加上域帐户krbtgt的密码基本不会更改,即使域管修改了密码,攻击者依然可以通过黄金票据获取域管理员
阅读全文
摘要:01、简介 简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录。 攻击者在获得起始攻击点后,需要获取目标主机上的相关凭证,以便通过用户凭证进行横向移动,这个技术点最容易关联到的就是
阅读全文
摘要:01、简介 在域环境里,域内用户hash存储在域控制器(ntds.dit)中的数据库文件中,ntds.dit文件是无法直接被复制的。在这种情况下,我们一般可以利用卷影复制服务(VSS)来实现ntds.dit的拷贝,然后下载进行离线分析和破解用户哈希。 02、利用VSS实现ntds.dit文件提取 (
阅读全文
摘要:01、简介 在一些勒索病毒的案例中,我们可以看到这样的案例,攻击者通过域控组策略下发勒索病毒加载脚本,从共享服务器下载并执行勒索病毒样本,从而导致内网大规模范围内的病毒感染事件。 在域控这种中央集权系统,通过组策略只需要更改一个组策略对象(GPO),就能影响成千上万的计算机,一旦被恶意利用后果不堪设
阅读全文
摘要:01、简介 针对域用户密码攻击,攻击者通常都会使用两种攻击方式进行测试,即:暴力破解(Brute Force)和密码喷洒(Password Spraying)。 暴力破解(Brute Force)攻击,攻击者通过利用大量猜测和穷举的方式来尝试获取用户口令的攻击方式。 密码喷洒(Password Sp
阅读全文
摘要:01、简介 DCShadow攻击,是攻击者在获取到域管理员权限后,通过将沦陷的主机伪造成域控,将预先设定的对象或对象属性复制到正在运行的域控服务器中。 DCSync&DCShadow区别在于,DCSync是从域服务器将数据复制出来,而DCShadow是将伪造的数据复制到域服务器。 02、攻击过程示例
阅读全文
摘要:01、简介 DCSync攻击是一种常见的域控攻击方法,利用DCSync导出域内用户的哈希值,本质上就是利用DRS(Directory Replication Service)协议通过 IDL_DRSGetNCChanges 从域控制器复制用户哈希凭据,以便进一步进行利用。 02、DCSync攻击手法
阅读全文
摘要:2022,公众号开篇了。新的一年,在此立个Flag,每周一篇原创文章,不限于技术、整理和分享、收获和感悟,欢迎大家帮忙监督。 开工的第一周,与同事聊起威胁情报的话题,顺手就搜索整理了一下国内外的威胁情报平台。在这里分享几个威胁情报平台,可通过查询获取威胁情报参考数据。 01、国内威胁情报平台 1、微
阅读全文
摘要:1、OVA文件下载 访问下载地址:https://developer.ibm.com/qradar/ce/,注册账号,然后下载ova文件。 2、使用VMware打开ova文件,导入虚拟机 3、开启虚拟机,设置root账号密码,在root目录下有setup安装程序,直接运维./setup 4、自动化安
阅读全文
摘要:环境配置 centos7系统 client1:192.168.91.17 centos7系统 master:192.168.91.18 rsyslog客户端配置 1、rsyslog安装 yum install rsyslog 2、启用UDP进行传输 vim /etc/rsyslog.conf #
阅读全文
摘要:下载地址:https://www.rsyslog.com/windows-agent/windows-agent-download/ 安装过程: 1、双击rsyslogwa安装包,开始进行安装 2、一路Next安装即可。PS:在这里可能需要等几分钟。 操作使用: 1、打开RSyslog Window
阅读全文
