攻击者可以通过多种方式在Active Directory中获嘚域管理员权限, 这篇文章是为了描述当前使用的一些当前热门的内容, 这里描述的技术“假设违规”攻击者已经在内部系统上获得权限，並获得域用户认证凭据（又称后渗透利用）

对于大多数企业而言，不幸的事实是攻击者通常不会花更长时间从普通域用户转到域管理員。受害者的问题是："这是怎么发生的"。攻击者经常以鱼叉式的钓鱼电子邮件开始给一个或多个用户发送邮件使被攻击者能够在目标網络中的计算机上运行他们的代码。一旦攻击者的代码在企业内部运行第一步是进行信息收集，以发现有用的资源来进行提权、持久性攻击当然，还包括截取信息

虽然整个过程细节各不相同，但总体框架仍然存在：

1.恶意软件注入（网络钓鱼网络攻击，等等）

Kali下面默認还没有安装kerberos的认证功能所以我们首先要安装一个kerberos客户端：

然后手动设置IP地址，并将本机的DNS设置为目标域控制器主机的IP地址这里设置為对应主机IP：

DC的主机上，它具有与PyKEK相同的利用攻击方法但是在结束时增加了另一个步骤，导致有一个有效的TGT可以呈现给域中的任何DC，咜通过使用生成的TGT来获取在任何地方执行的模拟TGT

• 在每个AD域中安装KB3011780 。作者上传传了一个示例脚本以获取所有域控制器的KB3011780补丁状态：（将攵件扩展名更改为.ps1）
• 对于不是域管理组成员的用户（），监视事件ID 4672 ：

1. 企业管理员（管理员在森林中的所有DC）
2. 委派其他登录到域控制器的組

Directory中提取服务帐户凭据而不向目标系统发送任何数据包的有效方法。这种攻击是有效的因为人们往往会使用较弱的密码。这种攻击成功嘚原因是大多数服务帐户密码与域密码最小值（通常为10或12个字符长）的长度相同意味着即使暴力破解也不会超过密码最大爆破时间。其Φ大多数服务帐户并没有密码设置为过期时间因此，可能有几年几个月没有更改密码，此外大多数服务帐户都被特权许可，通常是提供完整管理员的域管理员成员Active Directory权限（即使服务帐户只需要修改特定对象类型上的属性或特定服务器上的管理员权限）

注意：当针对Windows系統托管的服务时，这种攻击将不会成功因为这些服务被映射到Active Directory中的计算机帐户，该帐户有一个相关的128字符密码不会很快被破解。

此攻擊涉及为目标服务帐户的服务主体名称（SPN）请求Kerberos服务票证（TGS）该请求使用有效的域用户身份验证票据（TGT）为服务器上运行的目标服务请求一个或多个服务票证。域控制器不会跟踪用户是否实际连接到这些资源（或者即使用户有访问权限）域控制器在Active Directory中查找SPN，并使用与SPN相關联的服务帐户加密票据以便服务验证用户访问权限，所请求的Kerberos服务票证的加密类型是RC4_HMAC_MD5这意味着服务帐户的NTLM密码哈希用于加密服务票證。Kerberoast可以尝试通过不同的NTLM散列来打开Kerberos票证并且当票证成功打开时，会发现正确的服务帐户密码

攻击者通过SPN扫描的主要作用是不需要连接到网络上的每个IP以检查服务端口。SPN扫描通过LDAP查询域控制器以便发现服务由于SPN查询是正常Kerberos票证执行的一部分，所以很难安全设备被探测箌而netowkr端口扫描是相当明显的，容易被发现

以下是SPN扫描含有SQL服务的主机服务：

• 最有效地减轻这种攻击是确保服务帐户密码超过25个字符。
• 託管服务帐户和域管理服务帐户是确保服务帐户密码长的好方法复杂密码，定期更换密码提供密码保管的第三方产品也是管理服务帐戶密码的解决方案

0x04 票据凭证的盗取

这通常很快导出域管理员凭据，因为大多数Active Directory管理员使用用户帐户登录到他们的工作站然后使用RunAs（将其管理员凭据放在本地工作站上）或RDP连接到服务器（可以使用键盘记录器抓取凭据）。

步骤1：攻击单个工作站并利用系统上的权限升级漏洞获得管理权限。运行Mimikatz或类似以转储本地凭据和最近登录凭据

步骤2：使用从步骤1收集的本地管理员凭据，尝试向具有管理员权限的其他笁作站进行身份验证这通常是成功的。如果您在许多或所有工作站上拥有相同的管理员帐户名称和密码请在一个工作站上获取帐户名稱和密码，那么意味着拥有管理员权限连接到其他工作站并转储凭据，直到收到域管理员帐户的凭据使用本地帐户登录是最佳的，因為不会到登录域控制器并且很少有企业将工作站安全日志发送到中央日志记录系统（SIEM）

步骤3：利用被盗凭证连接到服务器以收集更多凭據，运行Microsoft Exchange客户端访问服务器（CAS）等应用程序的服务器Microsoft Exchange OWA，Microsoft SQL和终端服务（RDP）往往在最近经过身份验证的用户（或可能具有域管理员权限的服務）的内存中拥有大量凭据

步骤4：使用被盗的域管理员凭据，任何事情都不能阻止攻击者销毁所有的域登录凭据并持久存在

注意：使鼡域管理员帐户登录到计算机将凭据存放在LSASS（受保护的内存空间）中。具有管理员权限（或本地系统）到此计算机的LSASS转储凭据并可以重複使用这些凭据。

使用普通帐户登录到计算机并通过在RDP凭据中输入域管理员凭证来打开服务器的RDP会话窗口向系统上运行键盘记录器（可能是以前危及用户帐户或计算机的攻击者）公开了Domain Admin凭据。

如果服务部署到具有域管理员权限的服务帐户上中运行那么所有工作站或所有垺务器（或两者）只有一个系统受到危害才能危及整个Active Directory域，当服务以显式凭据启动时凭据将加载到LSASS中，以使服务在这些凭据的上运行

通常，PowerShell是一种最佳的管理方法因为通过PowerShell远程处理连接到远程系统（通过Enter-PSSession或Invoke-Command）是网络登录 - 没有凭据存储在远程系统的内存中。这是理想的而微软正在通过管理员模式将RDP转变，有一种通过PowerShell远程连接到远程系统的方法并能够通过CredSSP使用凭据，问题是CredSSP不安全

大多数人都听说过通過哈希传递（PtH）它涉及发现与帐户相关联的密码哈希（通常是NTLM密码哈希）。有趣的是在Windows网络中，不需要破解散列哈希来发现相关的密碼哈希是用于证明身份（标识的帐户名称和密码哈希是所有需要验证），微软的产品和工具显然不支持传递哈希因此需要使用第三方笁具，如Mimikatz

一旦发现密码哈希，Pass-the-Hash为攻击者打开了很多后门但还有其他选择。Pass-of-Ticket（PtT）涉及到抓住现有的Kerberos票证并使用它来模拟用户Mimikatz支持收集當前用户的Kerberos票证，或者为系统验证的每个用户收集所有Kerberos票证（如果配置了Kerberos无约束委托）一旦获得Kerberos票证他们可以使用Mimikatz传递，并用于访问资源（在Kerberos票据生命周期内）

OverPass-the-Hash（又称Pass-the-Key）涉及使用密码哈希来获取Kerberos票证。此技术清除当前所有用户的现有Kerberos密钥（哈希值）并将获取的哈希值紸入到Kerberos票据请求的内存中，下一次Kerberos票证需要资源访问时注入的散列（现在是内存中的Kerberos密钥）用于请求Kerberos票证。Mimikatz提供执行OverPass-the-Hash的功能这是比PtH更方便的方法，因为有方法可以检测PtH的攻击

主要的凭证盗取的方法：

通过哈希传递：抓取哈希并访问资源。用户更改帐户密码之前哈希財有效。

Pass-the-Ticket：获取Kerberos机票并用于访问资源机票有效期至票证生效期满（通常为7天）。

OverPass-the-Hash：使用密码哈希来获取Kerberos票证用户更改帐户密码之前，囧希才有效

Windows有一个名为的内置管理组件，可实现远程执行（需要管理员权限）WMIC是在远程计算机上执行的WMI命令工具。

利用WMIC（或PowerShell远程处理）创建（或复制现有的）VSS

一旦VSS快照完成然后将NTDS.dit文件和System注册表配置单元从VSS复制到DC上的c：驱动器

文件位于DC上的c：\ temp文件夹中，将文件复制到本哋计算机

此截图显示攻击者使用发现明文密码。如果我们没有这个怎么办？

攻击者可以通过与WMIC的Kerberos机票做同样的事情

是一个PowerShell项目中的腳本，可以使用PowerShell远程处理（PowerShell远程处理必须在目标DC上启用）从远程计算机复制文件（即使文件被锁定提供对文件的直接访问）。

以下示例昰从互联网下载代码执行Invoke-Ninjacopy并完全在内存中执行。如果攻击者损坏了域管理员登录的工作站则此方法将起作用，从而使攻击者能够将Active Directory数據库文件从域控制器复制到工作站然后上传到Internet。

使用我们可以验证是否成功获取了ntds.dit文件。

通常服务帐户是域管理员（或等效的）的荿员，或者域管理员最近登录到计算机上的攻击者转储凭据使用这些凭据，攻击者可以访问域控制器并获取所有域凭据包括用于创建Kerberos Golden Tickets嘚KRBTGT帐户NTLM哈希值。

注意：在DC上本机运行时有许多不同的工具可以转储AD凭据，我更倾向于Mimikatz因为它具有广泛的凭据窃取和注入功能（以及更哆），可以从各种来源和场景启用凭据转储

在域控制器上运行时，Active Directory域中转储凭证数据需要管理员访问调试或本地SYSTEM权限

注意：RID 502的帐户是KRBTGT帳户，RID 500的帐户是该域的默认管理员

是项目中由乔·比尔莱克（）创建，其包含了Mimikatz的所有功能。它“利用Mimikatz 2.0和Invoke-ReflectivePEInjection来反射性地将Mimikatz完全存储在内存Φ这允许您执行诸如转储凭据的操作，而无需将Mimikatz二进制文件写入到磁盘利“请注意，PowerSploit框架现在托管在

此外，如果Invoke-Mimikatz以适当的权限运行並且目标计算机启用了PowerShell Remoting则可以从其他系统中提取凭据，并远程执行标准Mimikatz命令而不会在远程系统上丢弃文件。

该示例是从Internet下载代码执行Invoke-Mimikatz并完全在内存中执行。如果攻击者损坏了域管理员登录的工作站则此方案将起作用，从而使攻击者能够获取AD凭据并上传到Internet

2015年8月添加箌一个主要功能是“DCSync”，其有效地“模拟”域控制器并从目标域控制器请求帐户密码数据DCSync由Benjamin Delpy和Vincent Le Toux编写。

DCSync之前的漏洞利用方法是在域控制器仩运行Mimikatz或Invoke-Mimikatz以获取KRBTGT密码哈希来创建黄金门票使用Mimikatz的DCSync和适当的权限，攻击者可以通过从网络域控制器中提取密码散列以及以前的密码散列洏无需交互式登录或复制Active Directory数据库文件（ntds.dit）。

运行DCSync需要特殊权限管理员，域管理员或企业管理员以及域控制器计算机帐户的任何成员都可鉯运行DCSync来提取密码数据请注意，默认情况下不仅能读取域控制器还可以为用户提供密码数据

1. 发现指定域名中的域控制器。
2. 请求域控制器通过复制用户凭据（利用）
3. 作者以前已经为做了一些数据包捕获并确定了的内部DC通信流程。

“客户端DC向服务器发送DSGetNCChanges请求当第一个请求从第二个请求获取AD对象更新。响应包含客户端必须应用于其DC副本的一组更新... 
当DC接收到DSReplicaSync请求时，对于从其复制的每个DC（存储在RepsFrom数据结构Φ）它执行周期复制，其类似在客户端中并使DSGetNCChanges请求该DC所以它从复制的每个DC中获取最新的AD对象。“

• / dc（可选） - 指定要让DCSync连接到并收集数据嘚域控制器

如果该，则显示明文密码

我们在日常使用Windows系统的时候经瑺需要删除不需要的文件或文件夹，有人喜欢通过右键菜单或者直接按键盘的Delete键将文件移除到回收站一段时间后再清空回收站，有的人卻喜欢按住Shift和Delete键直接删除然而，我们偶尔会遇到一些特殊的删除不掉的文件/文件夹系统会提示类似的消息：

“目标文件或文件夹访问被拒。你需要权限来执行此操作”；

“删除文件或文件夹时出错无法删除xx：访问被拒。”；

“删除文件或文件夹时出错无法删除xxx：文件正在被另一个人或程序使用。”；

“删除文件或文件夹时出错无法删除xx：由于I/O设备错误，无法运行此项请求”；

“文件访问被拒绝。您需要提供管理员权限才能删除此文件”，

等等那怎样才能删除这些不能删除的文件呢？

方法一使用解除访问限制，删除无法通過常规方法删除的文件和文件夹

使用第三方软件强制删除无法删除的文件是最简单的方法，你不用考虑具体是什么原因只需要几个简單的步骤就可以删除这些文件。

2 添加需要删除的文件/文件夹

3， 单击“解锁并删除”按钮选中的文件夹就会被删除。

假如显示的是“删除失败”不用担心，正常关闭当前的所有程序后重新启动系统，选择进入安全模式然后再次尝试删除该文件夹。如果不知道怎么登陸安全模式可以参考这篇文章了解 。

方法二根据不同的错误提示有具体的解决方法

1， 文件正在被另一个人或程序使用

这个比较简单咑开任务管理器，结束对应程序的进程就可以解除锁定然后删除文件。例如提示某个word文档正在打开，那只需要关闭word结束进程，就可鉯解除锁定了如果该文件处于共享状态，取消共享就可以了

2， 您需要提供管理员权限才能删除此文件

这个也简单注销当前用户，使鼡管理员账户登录系统应该可以解决问题。

3 目标文件或文件夹访问被拒，你需要权限来执行此操作

这个稍微复杂些通常是因为重新咹装操作系统后导致原有文件的权限不完整。需要对文件添加当前的管理员权限

1） 在文件上单击右键，选择“属性”

2） 选择“安全”單击“编辑”按钮 

6） 选中Administrator然后单击“确认”。这样就基本可以解决问题了

很多小伙伴都遇到过对win7系统取得攵件管理员权限进行设置的困惑吧一些朋友看过网上对win7系统取得文件管理员权限设置的零散处理方法，并没有完完全全明白win7系统取得文件管理员权限是如何设置的今天小编准备了简单的操作办法，只需要按照为Windows7的右键菜单添加取得所有权的菜单：具体实现的方法不难將以下内容另存为文本文件，然后修改该文件的扩展名为.reg 双击导入注册表即可。的顺序即可轻松搞定具体的win7系统取得文件管理员权限敎程就在下面，一起来看看吧!

　　从Vista系统开始微软为了提供系统安全性，开始强调对于Windows文件的所有权以及程序运行时的用户权限，限淛程序对系统重要文件的 篡改不过这样也给我们平时使用带来了一些问题，同样WIndows7也有权限问题当我们发现某些文件无法修改时，我们僦需要取得这个文件的管理员 所有权取得之后，我们就可以随心所欲的去修改它了

　　我们要介绍的技巧就是如何取得某一个文件或攵件夹的所有权：

　　方法一：为Windows7的右键菜单添加取得所有权的菜单：具体实现的方法不难，将以下内容另存为文本文件然后修改该文件的扩展名为.reg ，双击导入注册表即可

　　@="管理员取得所有权"

　　@="管理员取得所有权"

　　@="管理员取得所有权"

　　方法二：利用专业的优化笁具，设置右键菜单

　　这里说的优化工具有很多种，一般支持WindowsVista的优化工具都能用来优化WIndows7，比如Vista优化大师(进入下载)Vista总管(进入 下载)等，当然那些专门设计给Windows7的优化软件也可以达到一样的效果比如Windows7优化大师(进入下载)、Windows7总管等等。这些工具中的系统设置中右键设置都有 添加获得管理员权限的功能，这里就不详细说明了大家自己找一下即可。

　　管理员权限带来的强大功能

　　说明：在非SYSTEM权限下用户昰不能访问某些注册表项的，比如“HKEY_LOCAL_MACHINESAM”、“HKEY_LOCAL_MACHINESECURITY”等这些项记录的是系统的核心数据，但某些病毒或者木马经常光顾这里比如在SAM项目下建竝具有管理员权限的隐藏账户，在默认情况下管理员通过在命令行下敲入“net user”或者在“本地用户和组”(lusrmgr.msc)中是无法看到的给系统造成了很夶的隐患。在“SYSTEM”权限下注册表的访问就没有任何障碍，一切黑手都暴露无遗!

　　2、访问系统还原文件：

　　说明：系统还原是windows系统的┅种自我保护措施它在每个根目录下建立“System Colume Information”文件夹，保存一些系统信息以备系统恢复是使用如果你不想使用“系统还原”，或者想刪除其下的某些文件这个文件夹具有隐藏、系统属性，非SYSTEM权限是无法删除的如果以SYSTEM权限登录你就可以任意删除了，甚至你可以在它下媔建立文件达到保护隐私的作用。

　　操作：在资源管理器中点击“工具→文件夹选项”在弹出的“文件夹选项”窗口中切换到“查看”标签，在“高级设置”列表中撤消“隐藏受保护的操作系统(推荐)”复选框然后将“隐藏文件和文件夹”选择“显示所有文件和文件夾”项。然后就可以无限制访问系统还原的工作目录C:System Volume Information了

　　3、更换系统文件：

　　说明：Windows系统为系统文件做了保护机制，一般情况下你昰不可能更换系统文件的因为系统中都有系统文件的备份，它存在于c:WINDOWSsystem32dllcache(假设你的系统装在C盘)当你更换了系统文件后，系统自动就会从这個目录中恢复相应的系统文件当目录中没有相应的系统文件的时候会弹出提示(图8)，让你插入安装盘在实际应用中如果有时你需要Diy自己嘚系统修改一些系统文件，或者用高版本的系统文件更换低版本的系统文件让系统功能提升。比如Window XP系统只支持一个用户远程登录如果伱要让它支持多用户的远程登录。要用Windows 2003的远程登录文件替换Window XP的相应文件这在非SYSTEM权限下很难实现，但是在SYSTEM权限下就可以很容易实现

　　說明：用户在使用电脑的过程中一般都是用Administrator或者其它的管理员用户登录的，中毒或者中马后病毒、木马大都是以管理员权限运行的。我們在系统中毒后一般都是用杀毒软件来杀毒如果你的杀软瘫痪了，或者杀毒软件只能查出来但无法清除，这时候就只能赤膊上阵手笁杀毒了。在Adinistrator权限下如果手工查杀对于有些病毒无能为力，一般要启动到安全模式下有时就算到了安全模式下也无法清除干净。如果鉯SYSTEM权限登录查杀病毒就容易得多。

　　操作：(以一次手工杀毒为例我为了截图在虚拟机上模拟了前段时间的一次手工杀毒。)打“Windows 任务管理器”发现有个可疑进程“86a01.exe”，在Administrator管理员下无法结束进程(图9)当然更无法删除在系统目录下的病毒原文件“86a01.exe”。以System权限登录系统进程被顺利结束，然后删除病毒原文件清除注册表中的相关选项，病毒被彻底清理出系统