前言:因為自己環境的原因,自己沒有真正的試過,然后都是講述下自己的理解,圖片都是復制過來的,到時候自己把環境解決了就自己重新改下
需要知道的知識點:
根域和子域的最大的區別:就是根域對整個域林都有控制權,而子域沒有
子域和根域的區別:對應的Enterprise Admins組是否存在,原因是這個Enterprise Admins組只存在於一個林中的根域中
普通金票的局限性:
一個域樹中分為根域和子域,如果在子域中我們拿到了對應的域控中存儲的krgrbt的賬戶和對應的密碼hash,利用krbtgt的密碼HASH值生成黃金票據會具有一定的局限性,也就是被限制在當前域內訪問
正常的黃金票據的利用:
mimikatz.exe "kerberos::golden /user:administrator /domain:top.pentest.top /sid:S-1-5-21-2174377853-1962599352-171107088 /krbtgt:ae8366a5c4ba8d4b9932fbb20c6c0b1d /ptt" exit
可以看到的是sid中S-1-5-21-2174377853-1962599352-171107088用不需要輸入相對應的RID標識符,因為在mimikatz中利用的時候它會自動將你進行拼接,比如RID 519則為Enterprise Admins組中,RID 512則為Domain Admins組中,又因為我們當前存在子域,能拼接的就只能是512,那么自然就不能進行跨域訪問了。
同一域樹下的提權利用方式(Golden Ticket+SID History):
前提條件:
(1)子域的Krbtgt Hash 和 域SID
(2)父域的SID
利用過程:
1、正常情況下在子域控上直接訪問父域控的C盤會被阻止
2、如何拿到根域中的sid?
通過域內主機在遷移時SIDHistory屬性中保存的上一個域的SID值制作可以跨域的金票。
user2sid(沒試過):user2sid \\父域ip "administrator",應該是可以的吧....
3、再我們通過klist purge刪除當前保存的Kerberos票據
4、最后使用Mimikatz 利用Golden Ticket+SID History的方式偽造企業管理員SID History(RID 519)
kerberos::golden /user:Administrator /krbtgt:子域的KRBTGT_HASH /domain:子域的名稱 /sid:S-1-5-21-子域的SID(不需要RID) /sids:S-1-5-根域-519 /ptt
5、重新進行父域的訪問
問題:自己在搭建子域的時候,發現建立信任關系失敗,如何解決? 麻煩大佬告知!
參考文章:https://www.anquanke.com/post/id/172900?display=mobile&platform=iOS