当前位置: 首页 > article >正文

【域攻防】超级黄金票据食用指南

我不管这个世上的人怎么说我,我只想依照我的信念做事,绝不后悔,不管现在将来都一样!

1、利用域信任密钥获取目标域权限

这里环境信息为:

父域的域控:rdyx1.rdyx0.com

子域的域控:rdyx2.rdyx0.com

子域内的计算机:rdyx3.rdyx2.rdyx0.com

在子域的域控中使用 mimikatz 获取需要的信息

在这里插入图片描述

得到当前域的 SID 、父域的 SID 和子域域管 NTLM 哈希后,在子域的计算机中使用普通用户权限执行如下命令创建信任票据。

在这里插入图片描述

2、跨子域攻击父域(Sid History)

0x00 前言

黄金票据(Golden Ticket)是通过伪造域管理员权限的TGT,来换取任意服务的ST,相当于获取了域内的最高权限。

制作黄金票据的前置条件:域名称、域SID值、krbtgt账户NTLM Hash或AES 256密钥

# 获取域名称&SID值
net time /domain
whoami /user
# 获取krbtgt账户hash密码(dcsync需要域管权限、lsadump域管主机权限或者域管登录过)
mimikatz # lsadump::dcsync /user:domain\krbtgt
or
mimikatz # lsadump::lsa /user:krbtgt /inject
# 使用mimikatz制作金票并导入使用
mimikatz # kerberos::golden /admin:username /domain:domain /sid:sid /krbtgt:NTLM Hash
mimikatz # kerberos::ptt ticket.kirbi

普通黄金票据有一个作用域的限制就是票据的使用权限被限制在当前域内,不能跨域使用,而超级黄金票据打破了这一限制,提升了票据的作用域。

0x01 枚举域信任

1、使用powershell展现一个域信任关系

在这里插入图片描述

2、查看域内信任关系

在这里插入图片描述

从上面的命令可以看出来,父域和子域是存在双向的信任关系

0x02 环境准备

本地环境使用到的是windows server2016

主域:rdyx0.com

子域:rdyx1.rdyx0.com

假设已经拿到子域域控的权限,接下来我要拿父域的权限

0x03 超级黄金票据(Sid History)

Sid History攻击需要:

1、域名称(GET-ADDomain)
2、域的SID值(GET-ADDomainSID)
3、域的KRBTGT账户的hash(mimitakz)
4、伪造用户名(administrator)
5、根域EA组的ObjectID(Convert-NameToSid)

1、在子域的域控中使用 mimikatz 获取需要的信息

在这里插入图片描述

获取子域KRBTGT的hash

在这里插入图片描述

获取子域的 krbtgt 的哈希值,使用 mimikatz 即可

在这里插入图片描述

获取当前子域和父域的 SID 值,可以使用以下工具或命令

在这里插入图片描述

在这里插入图片描述

2、SID介绍

SID用于唯一标识安全主体或安全组,以S-1-5-21-xxx-xxx-xxx-502为例

表示字符串为SID(S)

修订级别(1)

标识符颁发机构 (5,NT Authority)

域标识符(21-xxx-xxx-xxx)

相对标识符RID(krbtgt 502)

常见的SID:

在这里插入图片描述

而完成Sid History攻击需要修改其RID,获取到krbtgt的SID后,将502修改为519,也就是Enterprise Admins组格式:

3、使用mimikatz完成攻击

访问父域是拒绝

在这里插入图片描述

在这里插入图片描述

用主机名访问,不然会出错,访问父域成功

在这里插入图片描述

使用mimikatz导出根域的hash

在这里插入图片描述

获取某一用户的hash

在这里插入图片描述

4、深度利用

可以继续通过PsExec64.exe直接横向移动到域控主机或者域内其他机器,注意这里需要一个域管理员的账号,可以新建

利用过程

在这里插入图片描述

直接提升到system权限,查看IP确实为域控IP

在这里插入图片描述

文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。

免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。

转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。

CSDN: 
https://rdyx0.blog.csdn.net/

公众号:儒道易行
https://mp.weixin.qq.com/mp/appmsgalbum?__biz=Mzg5NTU2NjA1Mw==&action=getalbum&album_id=1696286248027357190&scene=173&from_msgid=2247485408&from_itemidx=1&count=3&nolastread=1#wechat_redirect

博客:
https://rdyx0.github.io/

先知社区:
https://xz.aliyun.com/u/37846

SecIN:
https://www.sec-in.com/author/3097

FreeBuf:
https://www.freebuf.com/author/%E5%9B%BD%E6%9C%8D%E6%9C%80%E5%BC%BA%E6%B8%97%E9%80%8F%E6%8E%8C%E6%8E%A7%E8%80%85


http://www.kler.cn/a/371150.html

相关文章:

  • 批量剪辑视频软件源码搭建全解析,支持OEM
  • 华为手机卸载系统应用的方法
  • 一道巧妙的卡特兰数建模
  • 分组数据的交叉验证方法【Python代码汇总】
  • OS基础-
  • 融合ASPICE与敏捷开发:探索汽车软件开发的最佳实践
  • 快速遍历包含合并单元格的Word表格
  • 信息安全数学基础(33)群
  • 使用DeepLabV3实现植叶病害检测
  • 蓝桥杯基本算法~~~一维/二维前缀和问题
  • 【ComfyUI】手动安装部署ComfyUI的运行环境
  • QML旋转选择器组件Tumbler
  • 第十一章 Shiro会话管理和加密
  • 《Web性能权威指南》-WebRTC-读书笔记
  • 【GL08】STM32--ADC/DAC
  • spring-boot(入门)
  • 深入探索:深度学习在时间序列预测中的强大应用与实现
  • 编程解决有趣的智力题
  • 17、电话号码的字母组合-cangjie
  • 中阳智能投资系统:量化科技引领未来投资之路
  • gbase8s之spring框架用druid中间件报语法错误
  • Linux安装es和kibana
  • git下载和配置
  • 探索Python与Excel的无缝对接:xlwings库的神秘面纱
  • GPT-Sovits-2-微调模型
  • 内网穿透之网络层ICMP隧道