内网渗透--CS伪造黄金票据与白银票据

一 环境准备

做这个试验我们需要

• 一台域控制器 ip:192.168.248.20
• 两台加入了域的主机 ip:291.168.248.21-22
• 一台跳板机 ip:192.168.248.142
• 攻击机 ip:192.168.0.101

二、伪造黄金票据

该试验成立的前提是我们已经控制了目标系统的域控制器，通过CS工具，域控已经上线

然后我们选择dumphash

得到下图的结果

这里有一个kebtgt的账户，该账户在ad安装之后自动新建，其不具备登录系统的权限，si权限位为502，用来为session key、client info、时间戳加密生成TGT，上图后方两个红框中的值为该账户的ntlm值，我们也就是通过该值来伪造黄金票据。
这时候我们还需要一个sid

按照上图操作我们获得一个ntlm列表，我们从中找到一个合法的sid

我们只需要前面红框部分，权限位不需要，当然也可以设置位500，但切记不可设置为502，为啥可以想想

然后我们像上图一样选择制作黄金票据

用户名随便输，域名输入当前域的域名，sid域hash值我们刚才已经获取了，然后点击创建

可以看到已经创建成功了
实际上就是调用了mimikatz的语法

kerberos::golden /user:armandhenewpy /domain:armandhe.com /sid:S-1-5-21-4197756871-2277753462-2719367361 /krbtgt:219321f4d4e67465639934b1644e42f3 /endin:480 /renewmax:10080 /ptt

然后我们可以执行下面的语句查看当前系统的票据

mimikatz kerberos::list

可以看到刚才生成的票据
然后我们像下图一样探测一下当前域中的主机

然后我们点击切换到目标视图

可以看到当前域的另外两台主机，可以发现其颜色为浅黑色，标识当前主机并没有上线！！

然后我们选择要访问的主机

当目标主机版本较低时使用psexec，较高时使用psexec64,具体哪个版本我也记不太清楚了，我这里是xp系统，所以选择psexec!!
然后勾选使用当前的访问令牌，选择监听器域会话然后运行

然后我们可以看到我们的21主机的颜色变成深黑色了，表示其已经上线

我们回到列表视图，打开21主机的beacon,输入shell ipconfig,查看当前ip，还可以注意到21主机的权限时system权限

操作完成，开始为所欲为吧！！！

三、伪造白银票据

下面为翻车内容！！！
当前我们掌控了一台普通主机21，这台主机上线的应用必须以管理员身份运行！！！坑，也不晓得对不对
首先我们尝试对他进行提权

选择监听器与要使用的提权脚本，脚本可以自己上github上面找，推荐使用ms14_058

然后我们得到一个system权限的主机

打开他的beacon
通过hashdump我们查看到它是以域用户test的身份登录的，其LM值为下图红框中的部分

然后我们通过伪造黄金票据同样的方式得到了一个sid，然后我们在这台主机的beacon中执行下面的命令伪造白银票据

mimikatz kerberos::golden /user:armandhenewpy /domain:armandhe.com /sid:S-1-5-21-4197756871-2277753462-2719367361 /rc4:aad3b435b51404eeaad3b435b51404ee /services:cifs /endin:480 /renewmax:10080 /ptt

然后我们可以看到我们的白银票据生成成功了

然后我们使用这个票据来登录任意一台域内主机
操作方法和黄金票据一样的

可以看到新上线了一台主机，权限为system,