2000后的操作系统中,对DSRM使用控制台登录域控制器进行了限制,如果要使用DSRM账号通过网络登录域控制器,需要将该值设置为2。...输入如下命令,可以使用PowerShell进行更改。...在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。 SID History是在域迁移过程中需要使用的一个属性,为了解决用户在迁移到另一个域中的时候权限会改变的问题。...(在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源。)...3、使用域用户test登录,测试其是否具有administrator用户的权限 Hook PasswordChangeNotify Hook PasswordChangeNotify 的作用是当用户修改密码后在系统中进行同步
金票要求: * 域名 [AD PowerShell 模块:(Get-ADDomain).DNSRoot] * 域 SID [AD PowerShell 模块:(Get-ADDomain).DomainSID.Value...金票“限时” 与 Golden Tickets 一样令人难以置信的是,它们被“限制”在欺骗当前域的管理员权限。当 KRBTGT 帐户密码哈希在属于多域 AD 林的子域中公开时存在限制。...换句话说,在多域 AD 林中,如果创建 Golden Ticket 的域不包含 Enterprise Admins 组,则 Golden Ticket 不会为林中的其他域提供管理员权限。...为了支持我对如何在 Kerberos 票证中使用 SID 历史记录跨信任(森林内和外部)扩展访问权限的研究,我在 6 月下旬联系了 Benjamin Delpy 并请求添加 SID 历史记录。...(这可能是一件大事,因为通用组通常在多域 AD 林中经常使用)。
然后服务器验证证书是否正确,并在一切正常的情况下授予用户访问权限。 当一个帐户使用证书对AD进行身份验证时,DC需要以某种方式将证书凭据映射到一个AD帐户。...重新启动域控制器将会移除该恶意软件,并且攻击者需要重新部署它(域控重启后则无效)。 使用mimikatz在域控上执行即可,之后可以使用默认密码mimikatz作为任何用户进行认证。...SID History是在域迁移过程中需要使用的一个属性。...如果将A域中的域用户迁移到B域中,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源。...SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源
3、查看域控状态 使用netdom query fsmo命令查看当前主域控 4、信息同步 在AD1上新建DNS记录,新建组策略,新建用户组织和用户 十几秒后,在AD2查询到上述记录,同步正常...三、主域控迁移、角色互换 在AD1执行命令,将域控五大角色交给AD2,注意要在powershell里执行 注意:这里用命令交换角色是因为命令简单,在图形界面下需要点N多地方,很麻烦的。...手动进行复制 repadmin /syncall 强制同步 repadmin /syncall /force 查看某台域控的活动目录复制状态 repadmin /showrepl servername...主域崩溃、强制迁移 将AD2断网,模拟主域崩溃,配置AD1强行夺取主域控权限 确认当前主域控为AD2,我们使用Ntdsutil进行域控操作,再次查看主域控为AD1 注意:强制夺取主域权限后,通过AD站点与服务或...1、备份还原 2、热备 在AD1中增加服务器授权(AD3为原AD2服务器,已重装系统重新加域) 配置故障转移 配置AD3为伙伴服务器 可配置为负载均衡和热备,DHCP配置会自动同步到
在渗透测试中,可以使用DSRM域对域环境进行持久化操作。如果域控制器的系统版本为Windows Server 2008,需要安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步。...三、 SID历史域后门 每个用户拥有自己的 SID。SID 的作用主要是追踪安全主体控制用户连接资源时的访问权限。SID 历史是在迁移过程中需要使用的一个属性。...如果将域中域的用户迁移到 B 域中,那么在 B域中新建的 SID 会唤醒一个用户影响迁移后用户的权限,导致迁移后无法访问用户本来的资源。...SID的作用是在域迁移中过程域用户的访问,即如果迁移后用户的SID改变了系统,保持迁移其原始的SID到迁移后的用户的SID属性中,使迁移后的SID用户的历史用户或者保持原有权限、能够访问其原来可以访问的资源...Hook PasswordChangeNotify的作用是当用户修改密码后在系统中进行同步。
3、在windows server 2019上安装AD域服务,并且“将域控制器添加到现有域”,注意图片中的红框,不要在此做错误的选择,否则一失手只能从头再来; 4、 回到windows server.../E //复制所有子目录,包括空的子目录 /mt:30 //使用30个线程同时进行复制 /R:3 //失败副本的重试次数 /log:c:\log\copy.log //在C盘生成一个copy.log的记录文件...10、2019接过兵符,自然就要号令群雄—— 组策略下发网络驱动器,在之前的教程中已经写过,所以就不在此赘述了,只要按以下图片所示配置,就可以把shared文件夹映射成网络驱动器了; 11、客户端重新登录后...,S盘(网络驱动器)已经显示在资源管理器中了 12、回到2008上来,卸载AD域:以管理员的身份打开命令行窗口,执行dcpromo命令,千万注意,不是删除域!...千万不要勾选:“删除该域”! 13、重启后,再删除AD角色 —— 2008老将军,打开军簿,把自己的名字划掉了,英雄迟暮,难免潸然泪下。。。
Azure 攻击原语,以便更好地了解系统的工作原理、可以滥用哪些特权和权限、可能存在哪些限制以及在真实环境中存在哪些攻击路径。...不仅可以将计算机加入普通 AD 域或AzureAD 域,还可以将计算机同时加入普通 AD 域和AzureAD 域:这就是微软所说的混合 Azure AD 加入。...如果组织正在使用混合 Azure AD 加入来管理本地 Windows 系统,则控制“全局管理员”或“Intune 管理员”主体的攻击者可以作为 SYSTEM 用户在这些本地设备上执行任意 PowerShell...来自不同 Active Directory 域的本地系统可以混合加入同一个租户,这在某些情况下会导致攻击路径源自一个本地域(或可以向 Azure 进行身份验证的许多其他身份平台之一)并登陆另一个本地域,...image.png 让我再说一遍:从 Azure AD 租户转向本地 AD 域可以在完全不同的身份管理环境和不明确相互信任甚至相互不了解的平台之间启用攻击路径。
) 1、权限管理比较集中,管理成本降低 域环境中,所有的网络资源,包括用户均是在域控制器上维护的,便于集中管理,所有用户只要登入到域,均能在域内进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低...3、安全性加强 使用漫游账户和文件夹重定向,个人账户的工作文件及数据等可以存储在服务器上,进行统一备份及管理,使用户的数据更加安全有保障;同时域控制器能够分发应用程序、系统补丁,用户可以选择安装,也可以由系统管理员指派自动安装...4、提高了便捷性 可由管理员指派登陆脚本映射,用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需要再次输入密码。...的后渗透测试框架) • Nishang(一款针对Powershell的渗透测试工具) • Empire(一款内网渗透测试利器) • ps_encoder.py(使用Base64编码封装的Powershell...\ailx0000.txt #删除文件 3.常见用途: 1、绕过本地权限并执行 2、从网站服务器中下载脚本,绕过本地权限并偷偷执行 3、使用Base64对PowerShell命令进行编码 第三部分:内网环境搭建
更改一次,然后让AD备份,并在12到24小时后再次更改它。这个过程应该对系统环境没有影响。...注入两张HTTP&WSMAN白银票据后,我们可以使用PowerShell远程(或WinRM的)反弹出目标系统shell。...在域中使用用户emp.1进行了身份验证。...通过域内主机在迁移时SIDHistory属性中保存的上一个域的SID值制作可以跨域的金票。这里没有迁移,直接拿根域的SID号做演示。...此时的这个票据票是拥有整个域林的控制权的。我们知道制作增强金票的条件是通过SIDHistory那防御方法就是在域内主机迁移时进行SIDHistory过滤,它会擦除SIDHistory属性中的内容。
,枚举是关键,AD中的访问控制列表(ACL)经常被忽略,ACL定义了哪些实体对特定AD对象拥有哪些权限,这些对象可以是用户帐户、组、计算机帐户、域本身等等,ACL可以在单个对象上配置,也可以在组织单位(...,如前所述用户帐户将继承用户所属(直接或间接)组中设置的所有资源权限,如果Group_A被授予在AD中修改域对象的权限,那么发现Bob继承了这些权限就很容易了,但是如果用户只是一个组的直接成员,而该组是...Exchange服务器的计算机帐户,在默认配置中它是Exchange Windows Permissions组的成员,如果攻击者能够说服Exchange服务器对攻击者的机器进行身份验证,例如:使用mitm6...进行网络级攻击,权限可以立即提升到域管理员 现在可以使用impacket的secretsdump.py或Mimikatz来转储NTDS.dit哈希 如果攻击者拥有Exchange服务器的管理权限,就有可能提升域中的权限...,而无需从系统中转储任何密码或机器帐户哈希,从NT Authority\SYSTEM的角度连接到攻击者并使用NTLM进行身份验证,这足以对LDAP进行身份验证,下面的屏幕截图显示了用psexec.py调用的
检查AD复制是否正常,在每台域控制器上运行repadmin /showrepl和repadmin /replsum,如果运行结果没有任何报错信息,AD复制就是正常工作的)。...该域还必须使用DFS-R作为复制SYSVOL的引擎。...使用DHCP服务器使所有客户端配置指向新服务器的DNS 升级准备 提升域功能级别 在Active Directory 用户和计算机变更域级别为windows 2008 R2 在Active Directory...安装AD DS和DNS角色 升级server 2019为域控制器 迁移FSMO 执行该过程之前,请重复上面域环境检查步骤 等待DFS拷贝完成,可以在事件查看确认DFS拷贝完成,可以执行 Dcdiag...迁移DHCP服务 请挪步 windows server 2008 DHCP服务器迁移server 2019 DHCP并开启故障转移高可用 公司DHCP服务器一直是安装在域控上,之前做了域控迁移后,需要把
DSRM账户通过网络远程登录域控制器 此时在域成员主机的管理员模式下访问域控需要权限认证: 之后使用Mimikatz进行哈希传递,在域成员机器的管理员模式下打开Mimikatz,分别输入以下命令: privilege...History 基本介绍 每个用户都有自己的SID,SID的作用主要是跟踪安全主体控制用户连接资源时的访问权限,SID History是在域迁移过程中需要使用的一个属性,如果将A域中的域用户迁移到B域中...,那么在B域中该用户的SID会随之改变,进而影响迁移后用户的权限,导致迁移后的用户不能访问本来可以访问的资源,而SID History的作用是在域迁移过程中保持域用户的访问权限,即如果迁移后用户的SID...改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源,使用mimikatz,可以将SID History属性添加到域中任意用户的...SID History域后门的防御措施如下: 经常查看域用户中SID为500的用户 完成域迁移工作后,对有相同SID History属性的用户进行检查 定期检查ID为4765和4766的日志,4765为将
导出后拖入本地机器使用mimikatz进行分析即可。...导出后拖入本地机器使用mimikatz进行分析即可。...发现无法访问域内资源 加载msf中的mimikatz模块导出hash 进行进程迁移到system权限 migrate [PID] load kiwi #加载kiwi模块 creds_all #列举所有凭据...3 目标主机上线cs 登陆的机器为边界主机,拥有双网卡 当前用户的权限为administrator 使用插件进行提权,发现成功获取到system权限 查询域内信息,发现域控名为AD-2016 使用当前SYSTEM...VPN模式和socks代理模式使用dcsync导出域hash VPN环境 在VPN中可以随意导出域hash 首先进行hash传递为用户添加导出dcsync的权限。
使用目标服务帐户的NTLM密码散列对TGS进行加密并发送给用户(TGS-REP)。 用户在适当的端口上连接到托管服务的服务器并呈现TGS(AP-REQ)。该服务使用其NTLM密码散列打开TGS票证。...p=2398 活动目录数据库(NTDS.DIT) Active Directory域数据库存储在ntds.dit文件中(默认存储在c:WindowsNTDS中,AD数据库是Jet数据库引擎,它使用提供数据存储和索引服务的可扩展存储引擎...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...获取到域控权限后如何利用DSRM密码同步将域管权限持久化。...在修改域控密码时会进行如下同步操作: a. 当修改域控密码时,LSA首先调用PasswordFileter来判断新密码是否符合密码复杂度要求 b.
大多数组织在补丁发布后的一个月内使用KB3011780修补了他们的域控制器;但是,并非所有人都确保每个新的域控制器在升级为 DC 之前都安装了补丁。...使用用户帐户登录计算机并通过在 RDP 凭据窗口中键入域管理员凭据打开与服务器的 RDP 会话,会将域管理员凭据暴露给在系统上运行键盘记录器的任何人(这可能是先前危害用户的攻击者帐户和/或计算机) 如果有服务部署到在具有域管理员权限的服务帐户的上下文下运行的所有工作站或所有服务器...查看域管理员、域管理员、企业管理员、架构管理员和其他自定义 AD 管理员组中的所有帐户。...您的 vCenter 管理员组在 AD 中?您可能想要更改... 将适当的权限委派给适当的组,不要让攻击者能够通过服务器管理员帐户对 AD 进行后门。...使用任务管理器转储 LSASS 内存(获取域管理员凭据) 转储 LSASS 后,可以使用Mimikatz 从不同系统上的 LSASS.dmp 文件中提取登录凭据。
传输:管理员将盘点清单中要迁移的数据与目标节点进行配对映射,完成文件传输。...image.png 点击下一步 进入第二步骤传输,输入目标Windows设备的本地管理员权限凭据 image.png 为来源目标共享,磁盘卷进行映射配置,此步骤仅包含共享与卷的映射,不包含网卡与机器名的映射...,配置转换凭据,仍然为目标节点本地管理员权限账户 image.png 配置网卡映射设置,自动将源节点的IP映射给目标节点网卡,在映射给目标节点后,源节点IP应该使用什么地址,可以手动指定,或勾选使用...,此步骤将无法查看迁移进度,单独安装协调者节点则可看到全过程,最终以目标节点重启后使用迁移前域用户登录为结束。...目标节点设置为源节点IP,机器名设置为源节点名称 image.png 用户使用相同名称访问共享 image.png 共享权限及NTFS权限正常迁移 image.png 迁移效果:经过老王实测
Bloodhound 是一种通常被攻击者用来直观地映射组织的 Active Directory 结构并对其进行分析以发现其弱点的工具。...image.png 现在,攻击者使用从 Active Directory(使用 SharpHound)收集的信息来理解 AD 数据并对其进行分析以了解目标组织的 AD 结构,并找出各种有趣的事实和快捷路径以访问域管理员和不同主机上的用户权限等...下面是如何使用 GUI 完成的图形表示: image.png 这也可以使用 PowerShell 来完成: New-ADUser -Name “Josh Austin” -GivenName “Josh...下面是如何使用 GUI 完成的图形表示: image.png 这也可以使用 PowerShell 来完成: New-ADComputer -Name “THL-SRV2” -SamAccountName...因为攻击者通常在 LDAP 查询中搜索 *Admin* 以枚举高权限帐户 在重要的受保护以及域管理员中创建诱饵 创建诱饵网络共享并启用审计 将用户和计算机放在不同的 OU 中 创建计算机对象作为诱饵并分配不受约束的委派
3、在我们失去目标之后,可以通过 AD 域的镜像中导出未来攻击中可用的数据。 4、可以在 VDI 环境中使用 Office 模板宏替换 Normal.dot 来实现持久性控制。...9、在使用 PowerUp 进行权限提升无效的情况下可以考虑使用自启动的方式(修改自启动注册表或者将程序防止在 startup 目录下)提权。...10、在使用 BloodHound 时不要忘了使用等价于管理员或者服务器操作员的域账号。...AD = 活动目录,OU = 组织架构 12、Kerberoast 的 hash 可以帮助我们快速获得域管理权限,使用 PowerView 获取 hash 的命令如下: Invoke-Kerberoast..._tc 20、使用 SSH 将本地的 80 端口映射到远程,需要将 ssh 配置 GatewayPorts 为 yes: ssh c2 -R *:80:localhost:80 21、可以把自己的工具隐藏到回收站目录
通过在组策略管理控制台中配置的组策略首选项,管理员可以推出多种策略,例如,当用户登录其计算机时自动映射网络驱动器,更新内置管理员帐户的用户名或对注册表进行更改。...其中GPP最有用的特性,是在某些场景存储和使用凭据,其中包括: 映射驱动(Drives.xml)创建本地用户数据源(DataSources.xml)打印机配置(Printers.xml)创建/更新服务(...网管会使用域策略进行统一的配置和管理,大多数组织在创建域环境后会要求加入域的计算机使用域用户密码进行登录验证。为了保证本地管理员的安全性,这些组织的网络管理员往往会修改本地管理员密码。...至此,组策略配置完成,域内主机重新登录。 管理员在域中新建一个组策略后,操作系统会自动在SYSVO共享目录中生成一个XML文件,即Groups.xml,该文件中保存了该组策略更新后的密码。...此外,针对Everyone访问权限进行设置,具体如下: 1、设置共享文件夹SYSVOL的访问权限 2、将包含组策略密码的 XML 文件从 SYSVOL 目录中删除 3、不要把密码放在所有域用户都有权访问的文件中
注意: 围绕此问题的大部分研究是在 2019 年 8 月至 2019 年 12 月期间进行的,自那时以来,Microsoft 可能已经在功能和/或能力方面进行了更改。...或者 GA 会话令牌被盗,因为 GA 在其常规用户工作站上使用其 Web 浏览器(已被盗用)。 2. 攻击者使用此帐户进行身份验证,并利用帐户权限创建另一个用于攻击的帐户或使用受感染的帐户。...在 Azure 中的域控制器上,这将是域的 RID 500 帐户。 一旦攻击者可以在 Azure VM 上运行 PowerShell,他们就可以作为系统执行命令。...回到本地,然后我运行 Active Directory 模块 PowerShell 命令以获取域管理员组的成员身份,我们可以看到该帐户已添加。...检测要点: 无法使用 PowerShell、门户或其他方法检测 Azure AD 用户帐户上的此设置。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
