域滲透 | 黃金票據利用

時間 2020-02-02

標籤滲透黃金票據利用简体版

原文原文鏈接

前幾篇文章說了域滲透中白銀票據的利用等內容，接下來咱們說一下黃金票據的利用方法。html

0x01 介紹

你們再回憶一下域認證的流程，白銀票據是對域認證中的ticket作了手腳，那域認證的另外一個關鍵點TGT能不能有什麼利用的方法呢，若是有了TGT的話，咱們就能夠去請求服務的ticket，其實也是能夠進行利用的，黃金票據就是在這個狀況下利用的。學習

咱們先來明確一下所要包含的內容3d

KDC hash(session key + client name + end time)

咱們要想僞造一個TGT，最關鍵的地方仍是須要知道KDC hash也就是krbtgt的hash，若是咱們擁有看krbtgt的hash的話，就能夠僞造一個咱們所須要的TGT，由於在下一步跟TGS請求的時候，TGS也屬於KDC，也是擁有krbtgt的hash的，TGS就能夠解密拿到session key，而後去解密得到client info、end time等信息，而後再進行以後的操做。日誌

黃金票據的特色：code

1.須要與DC通訊server

2.須要krbtgt的hash

0x02 實驗

DC 192.168.6.112

Client 192.168.6.113
WIN7-CLIENT.zhujian.com

Server 192.168.6.114
WIN7-SERVER.zhujian.com

咱們這裏先不說如何拿到krbtgt的hash，咱們就假設本身已經拿到了域控而後從域控來導出hash以後在進行僞造的操做。

咱們直接在域控進行操做，在mimikatz執行如下命令

lsadump::dsync /domain:zhujian.com /user:krbtgt

能夠看到不少krbtgt的信息，包括咱們後面僞造TGT時候所須要的全部內容

而後咱們回到client進行僞造

mimikatz "kerberos::golden /domain:<域名> /sid:<域sid> /aes256:<aes256_hmac> /user:<任意用戶名> /ptt" exit

能夠看到這裏不須要指定服務名了，由於拿到TGT就能夠請求任何服務的權限就不須要再單獨指定須要哪個服務了，只要目標服務支持Kerberos認證咱們就能夠進行訪問，並且是具備必定的權限的，這咱們使用的仍是直接將票據導入內存，咱們也是能夠將票據存到文件中而後在須要使用的時候再導入到內存中。

而後可使用klist再查看一下票據

這個時候咱們就能夠對任何服務進行請求了

先看一下文件共享服務

對server端的

其實這個時候能夠看一下當前所擁有的票據，其中就有了對WIN7-SERVER的cifs票據，跟咱們再僞造白銀票據時候的狀態是同樣的

咱們再嘗試一下對域控的文件共享服務訪問

咱們再看一下票據

也就充分說明了咱們每次都是使用僞造TGT去請求一個新的ticket的

因爲權限是很是大的，因此咱們還能夠直接獲取域控的cmd，咱們使用psexec來進行操做，psexec是pstools中的一個工具，能夠本身去微軟進行下載

https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec

psexec \\secquan-win08.zhujian.com cmd

0x03 侷限性

這裏的侷限性我也沒有真正嘗試過，是從下面這篇文章中摘錄過來的

https://www.cnblogs.com/backlion/p/8127868.html

黃金票據「欺騙」了當前域的管理權限，當KRBTGT賬戶密碼哈希顯示在做爲多域AD的林一部分的子域中時存在此侷限性。由於是根（root）域包含全森林管理組Enterprise Admins。因爲Mimikatz經過相對標識符（RID）向票據添加了組成員資格，所以Kerberos票據中的519（企業管理）RID在其建立的域中（基於KRBTGT賬戶域）被標識爲本地。若是經過獲取域SID和附加RID建立的域安全標識符（SID）不存在，那麼Kerberos票據的持有者不會收到該級別的訪問權限。換句話說，在一個多域AD森林中，若是建立的Golden Ticket域不包含Enterprise Admins組，則Golden Ticket不會向林中的其餘域提供管理權限。在單個域Active Directory林中，因爲Enterprise Admins組駐留在此域中，這時建立Golden Ticket不存在侷限性。