简介BackdoorDifficulty Easy 实验环境攻击者 Kali 10.10.16.7受害者 IP 10.10.11.125  Linux 1. 信息收集收集受害者服务详情22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linu...

当用户提交 TGT 请求时，KDC 使用只有域中的KDC 知道的密钥对 TGT 进行加密。该密钥实际上是名为 krbtgt 的域用户帐户的密码哈希。如果我们能够获得 krbtgt 密码哈希，我们就可以创建自己的自定...

传递票证攻击利用了 TGS，它可以导出并重新注入到网络的其他位置，然后用于对特定服务进行身份验证。此外，如果服务票证属于当前用户，则不需要管理权限。在这种情况下，我们将滥用 dave 已有的...

1. 哈希传递哈希传递 (PtH) 技术允许攻击者使用用户的 NTLM 哈希而不是关联的明文密码来对远程系统或服务进行身份验证。请注意，这不适用于 Kerberos 身份验证，而仅适用于使用 NTLM 身份验证的...

PsExec 是一个非常通用的工具，是 Mark Russinovich 开发的 SysInternals套件的一部分。它旨在取代类似 telnet 的应用程序，并通过交互式控制台在其他系统上提供进程的远程执行。为了滥用该工具...

我们方法中合乎逻辑的下一步是破解我们获得的任何密码哈希值，并使用明文密码对计算机进行身份验证，以获得未经授权的访问。然而，密码破解需要时间并且可能会失败。此外，Kerberos和 NTLM 不直...

在生产环境中，域通常依赖多个域控制器来提供冗余。 目录复制服务 (DRS) 远程协议使用复制来同步这些冗余域控制器。 域控制器可能会请求更新使用 IDL_DRSGetNCChanges API 的特定对象，例如帐户...

在对 Active Directory 身份验证执行攻击3中，我们获取并破解了 TGS-REP 哈希以检索 SPN 的明文密码。我们将更进一步，伪造我们自己的服务票证。 Kerberos 身份验证的内部工作原理，在服务帐户...

回想一下 Kerberos 协议是如何工作的。我们知道，当用户想要访问由服务主体名称 (SPN)托管的资源时，客户端会请求由域控制器生成的服务票证。然后，服务票证由应用程序服务器解密和验证，因为它...

Kerberos 进行身份验证过程的第一步是发送 ASREQ。根据此请求，域控制器可以验证身份验证是否成功。如果是，域控制器将回复包含会话密钥和 TGT 的 AS-REP。此步骤通常也称为 Kerberos 预身份验...