域渗透之黄金票据维持权限技术详解

环境概述

网络拓扑结构:

DC (域控制器):
- IP: 10.10.10.10
- OS: Windows Server 2012
WEB服务器:
- IP1: 10.10.10.80
- IP2: 192.168.111.80
- OS: Windows Server 2008
- 服务: Weblogic 10.3.6 + MSSQL 2008
PC:
- IP1: 10.10.10.201
- IP2: 192.168.111.201
- OS: Windows 7
攻击机:
- Windows 10 (192.168.111.129)
- Kali Linux (192.168.111.128)

网络分段:

内网网段: 10.10.10.0/24
DMZ网段: 192.168.111.0/24

初始渗透阶段

Web打点

端口扫描:
- 发现445(SMB)、3389(RDP)、1433(MSSQL)和7001(Weblogic)端口开放
- Weblogic默认管理页面: http://xxxxxx:7001/console
漏洞利用:
- 尝试弱口令失败
- 利用CVE-2019-2725(WebLogic反序列化漏洞)执行命令
- 上传冰蝎JSP Webshell到路径:
```
C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp
```

初步信息收集

发现双网卡配置(10段和192.168.111段)
确认处于域环境中
检查发现无杀软防护
Net命令返回ERROR 5(权限不足)

后渗透阶段

提权与信息收集

Cobalt Strike上线:
- 使用PowerShell直接上线
- 使用甜土豆(Churrasco)进行提权
域信息收集:
- nslookup查询DNS记录，发现10.10.10.10(疑似域控)
- net time获取主域名称
- 抓取本机密码，获得MSSQL明文密码和Administrator明文密码
权限提升:
- 无法直接RDP登录
- 添加账户并提升至管理员组成功

横向移动

网络扫描:
- 发现PC主机(192.168.111.x)和DC主机(10.10.10.10)
- 确认DC为域控制器
Pass-the-Hash攻击:
- 使用抓取的Administrator凭证尝试PTH
- 由于DC不出网，使用SMB Beacon
- 成功建立连接
MS17-010利用:
- 扫描发现DC存在MS17-010漏洞
- 从CS派生会话到Metasploit
- 添加路由: run autoroute -s 10.10.10.0/24
- 使用exploit/windows/smb/ms17_010_psexec模块(避免蓝屏)
- 成功获取DC系统权限
凭证提取:
- 使用hashdump获取域内哈希
- 特别关注KRBTGT账户的NTLM哈希

黄金票据攻击详解

黄金票据原理

黄金票据是伪造的票据授予票据(TGT)，用于向KDC证明用户已被认证。特点：

不需要AS验证
即使域管密码修改仍有效
需要KRBTGT账户的NTLM哈希

黄金票据生成条件

必要信息:
- 域名称
- 域的SID值(去掉最后的-1001)
- KRBTGT账户的NTLM哈希
- 伪造的用户名(通常为域管)
已获取信息:
- 通过域控已获取KRBTGT哈希
- 通过whoami /all或类似命令获取域SID

实际操作步骤

在边缘主机(如WEB或PC)上操作:

使用Mimikatz或类似工具

示例命令:

kerberos::golden /user:Administrator /domain:domain.com /sid:S-1-5-21-123456789-1234567890-123456789 /krbtgt:hashvalue /ticket:golden.kirbi

票据注入:
- 使用kerberos::ptt golden.kirbi注入票据
- 验证权限: 尝试访问域控共享目录
权限维持:
- 即使域控权限丢失，仍可通过其他域内主机使用黄金票据重新获取权限
- 可添加隐藏域管账户实现持久化

防御措施

检测与防护:
- 监控KRBTGT账户密码更改(默认每30天)
- 实施双KRBTGT账户策略
- 限制域管理员权限
- 启用高级审计策略
应急响应:
- 发现黄金票据攻击后必须重置KRBTGT密码两次
- 全面检查域内账户

总结与思考

黄金票据是域环境中强大的权限维持技术，特点：

不依赖特定漏洞，利用Kerberos协议设计
权限持久性强，不受密码更改影响
需要先获取域控权限才能获取KRBTGT哈希

防御关键在于：

保护域控制器安全
实施最小权限原则
建立完善的监控体系

此技术演示了从外网渗透到内网横向移动，最终获取域持久化权限的完整过程，是红队评估中典型的高级攻击手法。

域渗透之黄金票据维持权限技术详解环境概述网络拓扑结构 : DC (域控制器) : IP: 10.10.10.10 OS: Windows Server 2012 WEB服务器 : IP1: 10.10.10.80 IP2: 192.168.111.80 OS: Windows Server 2008 服务: Weblogic 10.3.6 + MSSQL 2008 PC : IP1: 10.10.10.201 IP2: 192.168.111.201 OS: Windows 7 攻击机 : Windows 10 (192.168.111.129) Kali Linux (192.168.111.128) 网络分段 : 内网网段: 10.10.10.0/24 DMZ网段: 192.168.111.0/24 初始渗透阶段 Web打点端口扫描 : 发现445(SMB)、3389(RDP)、1433(MSSQL)和7001(Weblogic)端口开放 Weblogic默认管理页面: http://xxxxxx:7001/console 漏洞利用 : 尝试弱口令失败利用CVE-2019-2725(WebLogic反序列化漏洞)执行命令上传冰蝎JSP Webshell到路径: 初步信息收集发现双网卡配置(10段和192.168.111段) 确认处于域环境中检查发现无杀软防护 Net命令返回ERROR 5(权限不足) 后渗透阶段提权与信息收集 Cobalt Strike上线 : 使用PowerShell直接上线使用甜土豆(Churrasco)进行提权域信息收集 : nslookup 查询DNS记录，发现10.10.10.10(疑似域控) net time 获取主域名称抓取本机密码，获得MSSQL明文密码和Administrator明文密码权限提升 : 无法直接RDP登录添加账户并提升至管理员组成功横向移动网络扫描 : 发现PC主机(192.168.111.x)和DC主机(10.10.10.10) 确认DC为域控制器 Pass-the-Hash攻击 : 使用抓取的Administrator凭证尝试PTH 由于DC不出网，使用SMB Beacon 成功建立连接 MS17-010利用 : 扫描发现DC存在MS17-010漏洞从CS派生会话到Metasploit 添加路由: run autoroute -s 10.10.10.0/24 使用 exploit/windows/smb/ms17_010_psexec 模块(避免蓝屏) 成功获取DC系统权限凭证提取 : 使用 hashdump 获取域内哈希特别关注KRBTGT账户的NTLM哈希黄金票据攻击详解黄金票据原理黄金票据是伪造的票据授予票据(TGT)，用于向KDC证明用户已被认证。特点：不需要AS验证即使域管密码修改仍有效需要KRBTGT账户的NTLM哈希黄金票据生成条件必要信息 : 域名称域的SID值(去掉最后的-1001) KRBTGT账户的NTLM哈希伪造的用户名(通常为域管) 已获取信息 : 通过域控已获取KRBTGT哈希通过 whoami /all 或类似命令获取域SID 实际操作步骤在边缘主机(如WEB或PC)上操作 : 使用Mimikatz或类似工具示例命令: 票据注入 : 使用 kerberos::ptt golden.kirbi 注入票据验证权限: 尝试访问域控共享目录权限维持 : 即使域控权限丢失，仍可通过其他域内主机使用黄金票据重新获取权限可添加隐藏域管账户实现持久化防御措施检测与防护 : 监控KRBTGT账户密码更改(默认每30天) 实施双KRBTGT账户策略限制域管理员权限启用高级审计策略应急响应 : 发现黄金票据攻击后必须重置KRBTGT密码两次全面检查域内账户总结与思考黄金票据是域环境中强大的权限维持技术，特点：不依赖特定漏洞，利用Kerberos协议设计权限持久性强，不受密码更改影响需要先获取域控权限才能获取KRBTGT哈希防御关键在于：保护域控制器安全实施最小权限原则建立完善的监控体系此技术演示了从外网渗透到内网横向移动，最终获取域持久化权限的完整过程，是红队评估中典型的高级攻击手法。