Mimikatz小实验:黄金票据+dcsync

这篇博文是为了解释下Benjamin Delpy(@gentilkiwi)在这条推特上写的东西,看官们且耐住性子。

FreeBuf科普时间

krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 黄金票据(Golden Ticket):简单来说,它能让黑客在拥有普通域用户权限和krbtgt hash的情况下,获取域管理员权限。 dcsync:mimikatz中的功能,可以有效地“假冒”一个域控制器,并可以向目标域控制器请求帐户密码数据。

下面根据@gentilkiwi的描述,我会做一个实验。

获取域管理权限

首先,我以较低的权限运行了mimikatz,这个权限为Windows工作站的本地用户,也就是我demo域成员。

在这里,我们需要生成一张黄金票据(Golden Ticket),利用它来获得域管理权限。然后,咱们再使用mimikatz的dcsync功能,从域控制器获取hash。

作为一个新登录的本地用户,本来是没有票据的:

然后我手动创建了一张域管理的黄金票据:

使用这张票据:

然后我的低权限本地用户,就被提升到域管理权限了:

利用dcsync功能获取hash

然后我通过DRSR协议,从域控制器获取用户user01的hash:

我们把LM和NTLM的hash,同这篇博文里的hash对比下,发现它们是相同的。

kerberos::golden命令中所有的参数(krbtgt、domain、domain adminusername、domain SID),都可以通过这里的方式获取,简单来说就是提取并解析Active Directory 数据库(NTDS.DIT)的副本内容。

@gentilkiwi告诉我,只要domain admin username和RID是域管理组的一部分,那也是可以被伪造的。

伪造的信息大约可以生效20分钟左右,在此期间不会被系统检查到。

如果我们没有足够的权限(比如域管理)来查询带DRSR的域控制器,我们会得到error 5(权限不足)的提示:

你在对krbtgt NTLM hash进行更改的时候,也会得到这个错误。但在这里,ptt命令看起来像是成功了:

你需要注意的是,除非用户krbtgt的密码被改了(默认不会更改),不然krbtgt NTLM hash绝不会改变。所以,即使你拿到的是非常早的ntds.dit副本,也可以被用于恢复hash。

检测黄金票据的规则

该票据通过asn1编码存储在文件里:

@gentilkiwi本来做了一个YARA规则(mimikatz_kirbi_ticket)来检测这样的票据:

但是我用的mimikatz v2.1,使用了另一种asn1编码,这条规则就失效了。

然后@gentilkiwi就更新了一条更通用的规则,大家可以使用它来做检测:

rule mimikatz_kirbi_ticket

简单的小细节

此外,因为我使用了kerberos::golden的选项/ticket,票据文件是在磁盘上创建生成的。但是如果我使用了/ptt选项,它并不会写入磁盘。

@gentilkiwi还告诉我,如果你使用kerberos::dcsync去提升到域管理权限,是不会记录事件日志的。

*参考来源:DS,FB小编dawner编译,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-08-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

免费主题暗藏后门,波及WordPress等知名CMS系统

最近美国安全研究者爆料,针对CMS(内容管理系统)网站的数千种插件和主题被植入了名为CryptoPHP的后门,这可能导致大量的Web服务器被攻击者据为己有。 隐...

28560
来自专栏杨建荣的学习笔记

曲折的10g,11g中EM的安装配置过程(r4笔记第98天)

今天在本地搭了一套oracle环境,首先安装数据库的时候顺带了EM,结果安装好之后想修改监听器的端口,把原本15521的端口换成别的,结果在目录中修改了几个参数...

29530
来自专栏Eugene's Blog

黑客常用的扫描器盒子分类目录文章标签友情链接联系我们

39690
来自专栏码洞

如何优雅的关闭Go Channel【译】

不要在消费端关闭channel,不要在有多个并行的生产者时对channel执行关闭操作。

31240
来自专栏H2Cloud

支持插件的消息中间件【msg broker with plugin】

支持插件的消息中间件 msg broker with plugin Msg Broker概念: msg broker是实现application 之间互通讯的组...

57760
来自专栏V站

Skill丨新手如何驾驭360网站卫士?

在配置360网站卫士时,想起以前的骚操作:防御全开,缓存全开,优化全开,有什么开什么。认为多多益善,然后变成龟速网站。相信很多人都深有感触。今天V站分享一下。

24170
来自专栏猛牛哥的博客

门罗币新挖矿软件的使用方法

2.3K80
来自专栏区块链

在Office 文档的属性中隐藏攻击载荷

Microsoft Office中的文档属性通常包含与文档和各种其他元数据详细信息相关的信息。但是,此位置可用于存储并执行SMB或HTTP服务器上托管的有效载荷...

216100
来自专栏菩提树下的杨过

老生常谈:利用Membership实现SSO(单点登录)

虽然有一些现成的第三方解决方案比如:OpenID,Passport,SpaceCard等都还不错,但是要么就是收费的(passport),要么就是有点用不习惯(...

22850
来自专栏自动化测试实战

看到就是赚到!Selenium完整框架——告别2017

40390

扫码关注云+社区

领取腾讯云代金券