白银票据
一、原理概述
在请求票据发放过程中,Client与TGS通信获取Ticket,拥有Ticket就可以访问对应服务器资源。而当攻击者拥有Server NTLM Hash时,就可以伪造一个Ticket,直接与Server通信,让其验证。当然,如果能获取到域控主机的Hash,也相当于可以获取到域控权限
二、制作白银票据
1、实验环境
2、利用过程
(1)域信息的获取
首先我们需要获取服务器的NTLM Hash(此处直接使用域管理员账号登录域中的服务器后使用mimikatz导出):
privilege::debug //提升权限
sekulsa::logonpasswords //提取密码
查看服务器主机名:
查看域SID:
(2)清空客户端缓存票据
3、白银票据的制作
伪造票据的基本命令
kerberos::golden /domain:域 /sid:域SID /target:目标服务器主机名(全名,要带域名) /service:服务类型 /rc4:Server的NTLM_Hash /user:用户名 /ptt我们已经拿下了域控,所以我们进行横向移动,移动到Windows2003
移动成功之后,我们就控制了112.158这台主机
我们使用这台112.158主机dump hash,获取到了一些基本的凭证
然后使用mimikatz获取到它的logonpasswords
注意,我们这次不是去找用户的Hash,而是God-111这台主机的NTLM Hash
我们将zhangsan这个用户的SID、域控主机的NTLM以及God-111目标主机的NTLM保存在记事本里面去
之前伪造黄金票据的时候,我们的域控主机和两台域内主机都已经上线了,我们现在将他们全部下线
如果不下线的话,由于缓存中保存数据,我们就不知道是黄金票据在生效,还是之前做过的操作留下的缓存在生效,还是我们现在正要做的白银票据在生效
所以我们要清空所有的操作,对Windows2007进行重启
这时候我们让Windows7上线,这个时候就是一个全新的环境了
接下来我们制作一个白银票据
制作之前我们先执行一下命令,看看能否访问域控主机的C盘和God-111的C盘,发现不能访问
使用以下命令来制作白银票据
白银票据创建成功
我们创造的这个白银票据是针对God-111的,而不是域控主机的,所以我们无法去访问域控主机的C盘,只能去访问God-111的C盘
访问成功,注意,如果第一次我们构建了白银票据(针对God-111),然后去访问God-111的话有可能会访问不成功,多执行几次白银票据制作的命令,然后就可以进行访问了
将木马复制到God-111上去,然后运行让其上线
上线成功
注意,复制到目标主机的木马必须是免杀的,否则的话直接被杀了,无法通过木马进行上线了
当然我们还有一个比较猥琐的方法,就是木马上线之后进去的第一步就是干掉目标主机的杀毒软件的进程
这就是域控的白银票据,能够构建一个域控的白银票据的前提是我们之前拿下过域控,并通过CS dump hash
我们基于zhangsna这个域普通账号先来确认能不能访问到God-111的C盘和域控主机的C盘
域控主机的C盘拒绝访问
但是God-111的C盘可以访问到,是因为我们做了God-111的白银票据,并将其导入进去,然后就可以访问了
我们现在为dcadmin制作一个白银票据
使用zhangsan这个域普通用户来执行这个命令
dcadmin的白银票据制作成功
然后dcadmin的C盘也就可以访问成功了,然后复制,上线木马就完事了
我们还可以访问LDAP服务获取krbtgt账户Hash值制作黄金票据
和制作cifs的白银票据是一样的,只是服务不一样而已
这段命令的意思是去访问这个域控主机的LDAP服务,给其制作一张白银票据
白银票据制作完成
根据这张白银票据来获取到域控权限里边krbtgt的一个账户信息
然后就能获取到krbtgt的用户信息,也就获取到krbtgt的NTLM Hash
mimikatz lsadump::dcsync /dc:dcadmin.woniuxy.com /domain:woniuxy.com /user:krbtgt
然后我们去查看一下CS客户端,发现把krbtgt的NTLM Hash加回来了
获取到krbtgt的NTLM Hash,我们就可以去制作黄金票据(CS自带的功能)
将需要的参数都给加进去,然后build
黄金票据制作完成,CS制作的黄金票据是在当前的session里面,不是在文件里面
然后使用域普通账号zhangsan去访问域控主机的C盘,访问成功,说明我们制作的黄金票据生效了
访问成功就上传木马,使域控主机上线,争取拿下全域
扫一扫
3972
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
