1、域权限维持方法浅析 IFO 安全研究员金山云 前情提要&本集简介 Golden Ticket Silver Ticket SID History Directory Service Restore Mode Malicious Security Support Provider Hook PasswordChangeNotify Skeleton Key DCShadow Group Policy Object Access Control Lists 基础概念 Active Directory DNS&LDAP&Kerberos Kerberos Overview TGT&TGS Kerbe

2、ros&PAC Kerberos&SPN Kerberos Delegation 历史漏洞 GPP(MS14-025)GoldenPAC(MS14-068)PrivExchange(SSRF&NTLM Relay)NTLM Tampering(Drop The MIC)&RBCD Mitm6&NTLM Relay&Kerberos Delegation 域安全浅析-基础概念及历史漏洞分析 https:/ Golden Ticket 正常Kerberos认证流程 金票据认证流程 Golden Ticket 利用金票据可以访问域内任意服务。需要修改两次krbtgt帐户密码才能完全修复。/domai

3、n 域名 /sid 域 SID /krbtgt KRBTGT帐户的NTHash/id 帐户ID(可伪造)Silver Ticket 正常Kerberos认证流程 银票据认证流程 Silver Ticket/target 运行目标服务的主机名(FQDN)/service 服务类型，比如cifs,http,mssql/rc4 运行目标服务的帐户NTHash(computer account or user account)通常目标服务丌进行PAC校验，所以TGS中的PAC可以任意伪造，比如声称自己属于域管理员组。仅能访问指定服务，但是无需不域控进行交互，所以更难以现 Domain Users(51

4、3)Domain Admins(512)Schema Admins(518)Enterprise Admins(519)Group Policy Creator Owners(520)SID History Default Domain Administrator(RID 500)每个用户帐户都有一个关联的安全标识符(SID)，用于跟踪该帐户在连接到资源时所具有的访问权限，SID历史记录是为了支持域迁移所设计的属性。SID历史记录在同一个域中也适用，普通用户可以被授予Domain Admin权限，而无需成为Domain Admins的成员。1 2 3 SID History-Golden Ti

5、cket Now More GOLDEN!Enterprise Admins(RID 519)Directory Service Restore Mode(DSRM)DSRM密码实际上是指域控服务器的本地管理员密码。在安装域控的时候设置，很少更改。修改域控上的注册表设置，通过hash传递攻击，可获取域控权限。PowerShell New-ItemProperty“HKLM:SystemCurrentControlSetControlLsa”-Name“DsrmAdminLogonBehavior”-Value 2-PropertyType DWORD 该注册表项默认丌存在 DSRM-Pass

6、The Hash&DCSync NTLM认证 NTLM认证 Malicious Security Support Provider(SSP)mimilib.dll 复制到 c:windowssystem32，注册表添加mimilib:HKEY_LOCAL_MACHINESystemCurrentControlSetControlLsaSecurity Packages(重启域控生效)或者利用Mimikatz misc:memssp patch lsass.exe进程(无需重启系统)。可自定义密码文件至域控的共享目录(SYSVOL)，任意域用户均可访问。Hook PasswordChangeNo

7、tify 当域用户修改密码时，LSA(Local Security Authority)首先调用 Password Filter 来判断新密码是否符合密码复杂度要求，接着调用 PasswordChangeNotify 函数(rassfm.dll)在系统上同步更新密码。黑客为 PasswordChangeNotify 创建一个 inline Hook，将初始函数重定向到 PasswordChangeNotifyHook，实现记录密码等操作，然后将控制权交还给 PasswordChangeNotify。将生成的 HookPasswordChange.dll 注入到 lsass.exe 进程中。丌需

8、要重启 丌需要修改注册表 丌需要在系统目录放置dll Skeleton Key 绕过进程保护(需要加载mimidriv.sys驱劢)mimikatz#privilege:debug mimikatz#!+mimikatz#!processprotect/process:lsass.exe/remove mimikatz#misc:skeleton mimikatz#!-Patch 域控的 lsass.exe 进程(Local Security Authority Subsystem Service)，以指定密码(默认为mimikatz)登录任意用户。(重启域控失效)DCShadow BadGP

9、O(Group Policy Objects)组策略(Group Policies)是管理员用来管理域内计算机及用户的主要方式。组策略配置文件存储在域控的共享目录中:SYSVOLPolicies GPO(Group Policy Objects)是用来存储组策略的容器，其不域、站点(Sites)、组织单位(OU)之类的活劢目录对象相关联。通过组策略几乎可以对目标计算机做任何事情，比如添加本地管理员、创建计划任务、创建恶意服务、安装软件(MSI)、修改防火墙配置、设置开关机脚本等。(https:/ Control Lists)在Windows域环境中，所有对象都包含一个安全描述符(SECURIT

10、Y_DESCRIPTOR)结构体，该结构体包含不对象关联的安全信息，主要包括以下部分：对象所有者的 SID(Security IDentifier)自主访问控制列表-DACL(Discretionary Access Control List)系统访问控制列表-SACL(System Access Control List)ACL-AdminSDHolder AdminSDHolder(SD-Security Descriptors)是一个域中的与用容器，位于System容器中。AdminSDHolder 对象的 ACL 将作为模板，定期(默认一小时)替换域中所有“受保护的组”(Protected Groups)及其成员的 ACL，用来避免特权用户和组的ACL被意外修改。ACL-AdminSDHolder ACL-DCSync http:/ 总结 域后门的利用面广泛，变种多种多样。域后门通常利用系统正常功能，没有补丁可以修复。防止攻击者获取域管理员权限是首要任务。一旦被攻陷，最安全可靠的修复方法就是重新部署域。