【域攻防】超级黄金票据食用指南

admin
admin
admin
138635
文章
114
评论
2024年10月29日23:00:45评论58 views字数 1584阅读5分16秒阅读模式

我不管这个世上的人怎么说我,我只想依照我的信念做事,绝不后悔,不管现在将来都一样!

1、利用域信任密钥获取目标域权限

这里环境信息为:
父域的域控:rdyx1.rdyx0.com
子域的域控:rdyx2.rdyx0.com
子域内的计算机:rdyx3.rdyx2.rdyx0.com
在子域的域控中使用 mimikatz 获取需要的信息
【域攻防】超级黄金票据食用指南
得到当前域的 SID 、父域的 SID 和子域域管 NTLM 哈希后,在子域的计算机中使用普通用户权限执行如下命令创建信任票据。
【域攻防】超级黄金票据食用指南

2、跨子域攻击父域(Sid History)

0x00 前言

黄金票据(Golden Ticket)是通过伪造域管理员权限的TGT,来换取任意服务的ST,相当于获取了域内的最高权限。
制作黄金票据的前置条件:域名称、域SID值、krbtgt账户NTLM Hash或AES 256密钥
# 获取域名称&SID值
net time /domain
whoami /user
# 获取krbtgt账户hash密码(dcsync需要域管权限、lsadump域管主机权限或者域管登录过)
mimikatz # lsadump::dcsync /user:domainkrbtgt
or
mimikatz # lsadump::lsa /user:krbtgt /inject
# 使用mimikatz制作金票并导入使用
mimikatz # kerberos::golden /admin:username /domain:domain /sid:sid /krbtgt:NTLM Hash
mimikatz # kerberos::ptt ticket.kirbi
普通黄金票据有一个作用域的限制就是票据的使用权限被限制在当前域内,不能跨域使用,而超级黄金票据打破了这一限制,提升了票据的作用域。

0x01 枚举域信任

1、使用powershell展现一个域信任关系
【域攻防】超级黄金票据食用指南
2、查看域内信任关系
【域攻防】超级黄金票据食用指南
从上面的命令可以看出来,父域和子域是存在双向的信任关系

0x02 环境准备

本地环境使用到的是windows server2016
主域:rdyx0.com
子域:rdyx1.rdyx0.com
假设已经拿到子域域控的权限,接下来我要拿父域的权限

0x03 超级黄金票据(Sid History)

Sid History攻击需要:
1、域名称(GET-ADDomain)
2、域的SID值(GET-ADDomainSID)
3、域的KRBTGT账户的hash(mimitakz)
4、伪造用户名(administrator)
5、根域EA组的ObjectID(Convert-NameToSid)

1、在子域的域控中使用 mimikatz 获取需要的信息

【域攻防】超级黄金票据食用指南
获取子域KRBTGT的hash
【域攻防】超级黄金票据食用指南
获取子域的 krbtgt 的哈希值,使用 mimikatz 即可
【域攻防】超级黄金票据食用指南
获取当前子域和父域的 SID 值,可以使用以下工具或命令
【域攻防】超级黄金票据食用指南
【域攻防】超级黄金票据食用指南

2、SID介绍

SID用于唯一标识安全主体或安全组,以S-1-5-21-xxx-xxx-xxx-502为例
表示字符串为SID(S)
修订级别(1)
标识符颁发机构 (5,NT Authority)
域标识符(21-xxx-xxx-xxx)
相对标识符RID(krbtgt 502)
常见的SID:
【域攻防】超级黄金票据食用指南
而完成Sid History攻击需要修改其RID,获取到krbtgt的SID后,将502修改为519,也就是Enterprise Admins组格式:

3、使用mimikatz完成攻击

访问父域是拒绝
【域攻防】超级黄金票据食用指南
【域攻防】超级黄金票据食用指南
用主机名访问,不然会出错,访问父域成功
【域攻防】超级黄金票据食用指南
使用mimikatz导出根域的hash
【域攻防】超级黄金票据食用指南
获取某一用户的hash
【域攻防】超级黄金票据食用指南

4、深度利用

可以继续通过PsExec64.exe直接横向移动到域控主机或者域内其他机器,注意这里需要一个域管理员的账号,可以新建
利用过程
【域攻防】超级黄金票据食用指南
直接提升到system权限,查看IP确实为域控IP
【域攻防】超级黄金票据食用指南

儒道易行安全攻防交流3群

【域攻防】超级黄金票据食用指南

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

原文始发于微信公众号(儒道易行):【域攻防】超级黄金票据食用指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月29日23:00:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【域攻防】超级黄金票据食用指南https://cn-sec.com/archives/3330712.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息