type
status
date
slug
summary
tags
category
icon
password
前言:
由于靶场非公开化,此文仅以提供学习思路,不可用于其他用途。
实战目的
使目标主机留下TGT凭据
- 使用mimikatz获取TGT并进行PTT
环境
域内主机:win_one
域控制器:win_control
工具
- mimikatz
原理
TGT(Ticket Granting Ticket)是Keberos认证中的一种凭据,其中含有分发此凭据的用户权限(如admin分发的TGT具有admin的权限,可以用来申请admin权限对应的服务)。PTT(Pass The Ticket)就是利用伪造的TGT票据、或是诱骗管理员派发TGT票据,去申请对应的服务。在有Kerberos认证的环境内(如域)中均可以使用此方法,达到冒充高权限身份的目的。
msfvenom可以帮助黑客生成一个可以回连的shell文件,通过钓鱼的方式使目标主机(域外主机)执行后,可以获得目标的权限,从而获取目标的hash凭据,再通过mimikatz工具将域外主机的hash注入到本地域内主机,从而完成域内主机获取域外主机的权限。
步骤
1.实验操作前,确认两台机子是否处在域网络。
win_one
win_control
若主机没在域网络,需重新添加下域,机子重新启动。
使用登陆域内主机win_one,在管理员权限(需输入用户名密码)的命令行输入
winrm quickconfig -q
引导域控制器使用powershell访问域内主机的WinRM服务(此处直接在域控制器中执行以下命令),如果域控制器执行此指令,则此过程中包含其权限(域管理员)的TGT服务器至目标主机(域内主机)
2.切换账户-本地管理员登陆域内主机
使用管理员权限运行命令行,之后打开mimikatz,尝试窃取来自管理员的TGT
3.提权:privilege::debug
4.导出TGT:sekurlsa::tickets /export
5.发现来自域管理员的TGT
6.导入域管理员TGT: kerberos::ptt x.kirbi,目的是为了伪造其身份
7.能够成功访问域控制器,代表此时已经完成对域管理员权限的窃取,实验完成
总结
使用mimikatz进行PTT操作的基础知识。
- 作者:fnigkl
- 链接:https://www.fnigkl.com/article/001
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。