官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
关于ShadowSpray
ShadowSpray是一款功能强大的ShadowCredential域喷射工具,该工具能够对整个目标域执行Shadow Credential喷射,并尝试通过目标域中的其他对象来寻找和利用被遗忘的GenericWrite/GenericAll DACL。
工具运行机制
1、该工具首先会使用提供的凭证登录到目标域中(或使用当前会话);
2、接下来,工具会检查目标域功能,如果停止的话,Shadow Credential攻击将无法成功;
3、从LDAP收集域中所有对象(用户和计算机)的列表;
4、对于列表中的每个对象,工具将执行以下操作:尝试将KeyCredential添加到对象的“msDS-KeyCredentialLink”属性中。如果以上操作成功,将通过PKINIT并使用添加的KeyCredential来请求TGT;如果以上操作成功,将执行UnPACTheHash攻击以获取用户/计算机NT哈希;如果指定了--RestoreShadowCred:删除添加的KeyCredential(自行清理…);如果指定了--Recursive,则使用我们成功拥有的每个用户/计算机帐户执行相同的过程;
ShadowSpray支持CTRL+C,因此如果在任何时候您希望停止执行,只需按下CTRL+C即可,ShadowSpray将在退出之前显示到目前为止恢复的NT哈希。
工具下载
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Dec0ne/ShadowSpray.git
工具使用
__ __ __ __ __ __ /__` |__| /\ | \ / \ | | /__` |__) |__) /\ \ / .__/ | | /~~\ |__/ \__/ |/\| .__/ | | \ /~~\ | Usage: ShadowSpray.exe [-d FQDN] [-dc FQDN] [-u USERNAME] [-p PASSWORD] [-r] [-re] [-cp CERT_PASSWORD] [-ssl] -r (--RestoreShadowCred) 攻击完成之后恢复"msDS-KeyCredentialLink"(可选) -re (--Recursive) 递归执行ShadowSpray攻击 (可选) -cp (--CertificatePassword) 证书密码,默认为随机密码 General Options: -u (--Username) 初始LDAP 认证用户名(可选) -p (--Password) 初始LDAP 认证密码(可选) -d (--Domain) 目标域的FQDN(可选) -dc (--DomainController) 目标域控制器的FQDN(可选) -ssl 通过SSL使用LDAP (可选) -y (--AutoY) 开始ShadowSpray 攻击时无需询问确认(可选)
工具使用演示
演示视频:【点我观看】
项目地址
ShadowSpray:【GitHub传送门】
参考资料
https://github.com/BloodHoundAD/BloodHound