最后更新于
最后更新于
金票攻击是指通过使用Active Directory (AD) krbtgt账户的NTLM哈希创建合法的票据授予票据(TGT),冒充任何用户。这种技术特别有利,因为它允许访问域内的任何服务或计算机,就像冒充的用户一样。关键是要记住krbtgt账户的凭据永远不会自动更新。
要获取krbtgt账户的NTLM哈希,可以采用各种方法。可以从域内任何域控制器(DC)上的本地安全性子系统服务(LSASS)进程或NT目录服务(NTDS.dit)文件中提取。此外,执行DCsync攻击是另一种获取此NTLM哈希的策略,可以使用Mimikatz中的lsadump::dcsync模块或Impacket的secretsdump.py脚本执行。重要的是要强调,要执行这些操作,通常需要域管理员权限或类似级别的访问权限。
尽管NTLM哈希可用作此目的的有效方法,但出于操作安全原因,强烈建议使用高级加密标准(AES)Kerberos密钥(AES128和AES256)伪造票据。
一旦您注入了黄金票证,您就可以访问共享文件**(C$),并执行服务和WMI,因此您可以使用psexec或wmiexec**来获取一个shell(看起来您无法通过winrm获取shell)。
检测黄金票证最常见的方法是通过检查Kerberos流量。默认情况下,Mimikatz为TGT签名10年,这在随后使用它进行TGS请求时会显得异常。
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
使用/startoffset
、/endin
和/renewmax
参数来控制开始偏移、持续时间和最大续订次数(均以分钟为单位)。