0x00 简介 如果账户设置了Do not require Kerberos preauthentication，则在AS-REQ阶段就不需要用Client Master Key加密timestamp，用于KDC验证自身。因此，攻击者可以伪装成任意用户发出AS-REQ，而AES-REP中的Session Key是由Client Master Key加密的；一旦攻击者拿到AES-REP后便可...

RID Hijacking 0x00 简介 通过操作SAM注册表，修改本地账户RID为500，实现RID劫持 参考： Persistence – RID Hijacking Rid Hijacking: When Guests Become Admins 0x01 相关概念 使用psexec.exe以system权限打开注册表HKEY_LOCAL_MACHINE\SAM\SAM...

Zerologon CVE-2020-1472 原理及利用 0x00 前言 参考 https://www.secura.com/uploads/whitepapers/Zerologon.pdf https://threadreaderapp.com/thread/1306280553281449985.html 0x01 Netlogon Remote Protocol ...

原理 一、Net-NTLM协议 http://d1iv3.me/2018/12/08/LM-Hash%E3%80%81NTLM-Hash%E3%80%81Net-NTLMv1%E3%80%81Net-NTLMv2%E8%AF%A6%E8%A7%A3/ 1. LM Hash与NT Hash LM Hash与NT Hash，密码根据固定算法转成的两种Hash，LM Hash更容易被破解 ...

原理 一、Kerberos认证 https://www.dazhuanlan.com/2020/02/03/5e3738460a38b/ https://qili93.github.io/%E6%8A%80%E6%9C%AF%E8%A7%A3%E8%AF%BB/2017/03/14/kerebros-auth/ https://en.hackndo.com/kerberos/ ...

Dump域内凭据汇总 How Attackers Dump Active Directory Database Credentials 读取LSASS进程内存 1. 本地获取 Mimikatz 通过与LSA Server交互直接拿到SAM和NTDS中储存的Hash, 这种方式与读取SAM，NTDS文件拿到的信息基本一致，但直接与LSASS 交互有可能造成其crash，尤其是在域很大...

DCShadow笔记整理 参考、摘抄于： https://blog.riskivy.com/dcshadow/#DCShadow-2 https://zhuanlan.zhihu.com/p/37782341 基础概念 nTDSDSA对象 在活动目录数据库中通过一些特殊对象以及一定的数据对象层级关系来标识某台机器是域控制器，其中，最关键的是nTDSDSA对象，该对象正是标识一台主...

0x00 简介 攻击者在获取Domain Admins权限后，可以通过SID Hisotry给普通账户提权，用于权限维持 参考： Sneaky Active Directory Persistence #14: SID History 0x01 SID History SID History is an attribute that supports migration sc...

DCsync原理及利用 原理 域中的账户、密码信息是存储在域控机器上C:\Windows\NTDS\NTDS.dit文件里, 以往是需要在域控机器上执行dump hash操作的；而通过DCSync，则可以从其他机器上，远程从C:\Windows\NTDS\NTDS.dit中获取密码hash。相比于在域控上访问lsass.exe进程或拷贝NTDS.dit、System 文件，其噪音更小。 ...

学习了以下文章，整理SSP相关笔记: Mimikatz中SSP的使用 深入分析Mimikatz：SSP Exploring Mimikatz - Part 2 - SSP SSPI&SSP SSPI(Security Support Provider Interface) 这是 Windows 定义的一套接口，此接口定义了与安全有关的功能函数， 用来获得验证、...