type
status
date
slug
summary
tags
category
icon
password
偷令牌的注意事项
1、一般情况下只能高权限账户令牌替换为低权限,或者同权限用户互相切换(同权限组)
2、使用\时,需要用两个才能正常运行
3、若想偷的令牌所有者未登录(或未创建会话),则无法偷取
4、一般令牌窃取适用于有一个域内服务器的管理员权限,此时若域用户(管理员)登录过当前服务器,即可通过服务器管理员来偷取域用户(管理员)的令牌
msf令牌假冒
实验:
win7登录域管(08haha\administrator),打开一个记事本,进程notepad.exe
然后切换用户为win7,打开一个记事本(需要右键以管理员身份打开,哪怕已经是管理员,也需要,否则可能无法成功),进程notepad.exe
此时win7内打开msfvenom制作的shell, 进程为test.exe
kali内获取meterpreter会话
目标:通过win7身份获得域管的身份权限
环境配置如下图:
load incognito | 加载 Incognito模块,以在Windows系统上执行令牌操作,包括提升权限和执行横向移动。(此处我已经导入过) |
list_tokens -u | 例举用户 -g#例举用户组 |
getuid | 获取PID |
steal_token PID | 偷取进程令牌 |
impersonate_token | 假冒用户 |
ps | 查看当前运行的进程 |
rev2self | 返回之前的令牌权限 |
drop_token | 丢弃现在的令牌权限 |
黄金票据
kerveros认证单词解释:#例
KDC:密钥分发中心,包含AS和TGS
AS:身份认证服务
TGS:票据授予服务
TGT:由身份认证服务授予的票据,默认有效时长10h
PTT------(pass-the-ticket)
使用范围:
拥有域管理员权限后,可通过制作金票达成权限维持的效果。
模拟实验
原理:
复现:
win7域管登录,运行cs生成的木马。获得连接
首先抓取hash,也就是aad3b435b51404eeaad3b435b51404ee
抓取hash后密码凭证会出现一些东西
通过命令shell whoami /user获取SID
生成黄金票据,也就是这个
使用黄金票据
