同一域树下的提权利用方式(Golden Ticket+SID History)

前言:因为自己环境的原因,自己没有真正的试过,然后都是讲述下自己的理解,图片都是复制过来的,到时候自己把环境解决了就自己重新改下

需要知道的:

根域和子域的最大的区别:就是根域对整个域林都有控制权,而子域没有

子域和根域的区别:对应的Enterprise Admins组是否存在,原因是这个Enterprise Admins组只存在于一个林中的根域中

普通金票的局限性:

一个域树中分为根域和子域,如果在子域中我们拿到了对应的域控中存储的krgrbt的账户和对应的密码hash,利用krbtgt的密码HASH值生成黄金票据会具有一定的局限性,也就是被限制在当前域内访问

正常的黄金票据的利用:
mimikatz.exe "kerberos::golden /user:administrator /domain:top.pentest.top /sid:S-1-5-21-2174377853-1962599352-171107088 /krbtgt:ae8366a5c4ba8d4b9932fbb20c6c0b1d /ptt" exit

可以看到的是sid中S-1-5-21-2174377853-1962599352-171107088用不需要输入相对应的RID标识符,因为在mimikatz中利用的时候它会自动将你进行拼接,比如RID 519则为Enterprise Admins组中,RID 512则为Domain Admins组中,又因为我们当前存在子域,能拼接的就只能是512,那么自然就不能进行跨域访问了。



同一域树下的提权利用方式(Golden Ticket+SID History):

前提条件:

(1)子域的Krbtgt Hash 和 域SID

(2)父域的SID

利用过程:

1、正常情况下在子域控上直接访问父域控的C盘会被阻止

2、如何拿到根域中的sid?

通过域内主机在迁移时SIDHistory属性中保存的上一个域的SID值制作可以跨域的金票。

user2sid(没试过):user2sid \\父域ip "administrator",应该是可以的吧....

3、再我们通过klist purge删除当前保存的Kerberos票据

4、最后使用Mimikatz 利用Golden Ticket+SID History的方式伪造企业管理员SID History(RID 519)

kerberos::golden /user:Administrator /krbtgt:子域的KRBTGT_HASH /domain:子域的名称 /sid:S-1-5-21-子域的SID(不需要RID) /sids:S-1-5-根域-519 /ptt

5、重新进行父域的访问



问题:自己在搭建子域的时候,发现建立信任关系失败,如何解决? 麻烦大佬告知!

参考文章:https://www.anquanke.com/post/id/172900?display=mobile&platform=iOS

原文地址:https://www.cnblogs.com/zpchcbd/p/12215646.html

时间: 2024-10-13 16:25:31

同一域树下的提权利用方式(Golden Ticket+SID History)的相关文章

如何部署林根域、子域和域树

标签:张兆森 实验环境: 这是两个不同的林根域,在林中创建的第一个域叫 做林的根域. (1).如何创建林根域 步骤: 1运行dcpromo命令,选择"在新林中新建域" 2.输入新域的域名 3.一直点击下一步,直到安装完成即可是一个 林根域 (2).如何创建子域 步骤: DNS的地址要指向主域的IP地址 1.运行dcpromo命令,选择"在现有林中新建域 " 创建子域 2.这个地方要输入主域的域名和管理员的密码 你要创建谁的字域就输入谁的域名 3.这里的父域就是主域,

域环境下利用组策略实现统一管理

域环境下利用组策略实现统一管理 1)   组策略配置 准备工作: 域控---新建---组织单位 Network 添加账户hansongwei 新建组策略对象 注:win 2003与win 2008 的区别 Win 2003[管理工具][Directory Active 用户和计算机]选择整个域或者某个组织单位,右键单击,[属性]---[组策略] Win2008  [管理工具][组策略管理] 本实例以win 2003为例 新建---组策略对象 networkGPO 编辑 networkGPO 做相

【数据结构】第6章 树(下)

数据结构第6章 树(下) §6.4 树和森林 6.4.1 树的储存结构 ①父亲表示法(利用每个(除根)结点只有唯一的父亲的性质) ②孩子表示法(用广义表实现) ③孩子兄弟表示法(二叉链表指向第一个孩子结点和下一个兄弟结点) 6.4.2森林与二叉树的转换 二叉树和树都可以用二叉链作为储存结构(分别是孩子表示法和孩子兄弟表示法),给定一棵树,可以找到唯一的一棵二叉树与之对应.两者的物理结构是相同的,只是解释不同而已(旋转). 任何一棵和树对应的二叉树,其右子树必空(因为根是没有兄弟的),在森林中可以

SSRS域账号下 User 'XXX' does not have required permissions的处理方法

SSRS安装完成后,点击Report Manager URL,提示:User 'XXX' does not have required permissions. Verify that sufficient permissions have been granted and Windows User Account Control (UAC) restrictions have been addressed. 解决方案:以管理员权限运行IE浏览器,将地址粘贴跳转到网址,然后在 文件夹设置-添加上

对工作组计算机访问域环境下共享资源的不同结果的思考

第一种情况:03域环境下访问文件服务器(用UNC路径\\x.x.x.x)无需输入域账户即可看到共享文件       夹,但双击文件夹时提示错误,无法访问. 第二种情况:08R2域环境下访问文件服务器(用UNC路径\\x.x.x.x)提示需要输入域用户账户,当输入     正确的账户后可查看此账户权限对应的文件夹. 以上两种的情况并非由03域和08R2域导致,而是因为文件服务器本地组策略中:网络访问: 本地帐户的共享和安全模型(组策略位置在计算机配置-Windows设置-安全设置-本地策略-安全选

一步一步写算法(之哈夫曼树 下)

原文:一步一步写算法(之哈夫曼树 下) [ 声明:版权所有,欢迎转载,请勿用于商业用途.  联系信箱:feixiaoxing @163.com] 前面说到了哈夫曼树的创建,那下面一个重要的环节就是哈夫曼树的排序问题.但是由于排序的内容是数据结构,因此形式上说,我们需要采用通用数据排序算法,这在我之前的博客里面已经涉及到了(通用算法设计).所以,我们所要做的就是编写compare和swap两个函数.通用冒泡代码如下所示, void bubble_sort(void* array[], int le

几处早莺争暖树下一句是什么,几处早莺争暖树后一句

几处早莺争暖树下一句是什么,几处早莺争暖树后一句 几处早莺争暖树下一句:谁家新燕啄春泥 完整句子:几处早莺争暖树,谁家新燕啄春泥. [意思]:几处早出的黄莺争着飞向阳光温暖的树木上栖息,谁家新来的燕子衔着泥在筑巢. ------------------------------------------ [原诗] 钱塘湖春行 (唐白居易) 孤山寺北贾亭西,水面初平云脚低. 几处早莺争暖树,谁家新燕啄春泥. 乱花渐欲迷人眼,浅草才能没马蹄. 最爱湖东行不足,绿杨阴里白沙堤. [翻译] 从孤山寺的北面到

WPF 组织机构下拉树多选,递归绑定方式现实

原文:WPF 组织机构下拉树多选,递归绑定方式现实 使用HierarchicalDataTemplate递归绑定现实 XAML代码: <UserControl x:Class="SunCreate.CombatPlatform.Client.MultiSelOrgTree" xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation" xmlns:x="http://schemas

[转]Net 下采用GET/POST/SOAP方式动态调用WebService C#实现

本文转自:http://www.cnblogs.com/splendidme/archive/2011/10/05/2199501.html 一直以来,我们都为动态调用WebService方法而烦恼.在.Net环境下,最常用的方法就是采用代理类来调用WebService,可以通过改变代理类的Url属性来实现动态调用,但当xmlns改变时就会出错,似乎要重新绑定Webservice并重新编译后才能再次运行.我无意中通过百度搜索找了一个采用GET/POST/SOAP方式动态调用WebService的