域渗透-白银票据和黄金票据的利用
最近做了一些靶场域渗透的实验,记录下一些关于白银票据和黄金票据的问题。
0x01 白银票据的利用
1 环境信息
域控DC
192.168.183.130域内主机win7
192.168.183.129
2 使用场景
在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。
3 利用过程
说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程
获取sid whoami /all
伪造票据
MS14-068.exe -u 用户名@域名 -p 密码 -s sid -d 域控服务器ip或者机器名
MS14-068.exe -u douser@demo.com -p Dotest123 -s S-1-5-21-979886063-1111900045-1414766810-1107 -d 192.168.183.130
注入票据
mimikatz.exe "kerberos::purge"
mimikatz.exe "kerberos::ptc 证书路径"
验证
查看票据是否注入成功,可以使用mimikatz的kerberos:list,也可以使用cmd的klist命令。
利用
白银票据的利用我推荐使用PsExec.exe工具,这个工具可以产生一个交互的cmd。 用法:PsExec.exe \\要访问的域机器名 cmd
0x02 黄金票据的利用
1 环境信息
域控DC Server2012
DC:10.10.10.10域内主机
WEB:10.10.10.80 和 192.168.111.80 Server2008
PC: 10.10.10.201 和 192.168.111.201 win7
2 使用场景
我们拿下域控,但是因为版本原因我们抓不到域管理的明文密码,我们需要进行横向的渗透,这时候可以使用黄金票据。
另外,做权限维持方式很多,如粘滞键、注册表注入、计划任务、影子用户等等。由于本次是拿到域控,那么这种情况下,我们使用黄金票据是一种非常好的权限维持的方法。
3 利用过程
这里我选用了vulnstack2靶机笔记的权限维持部分来验证
黄金票据就是伪造krbtgt用户的TGT票据,krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户。
黄金票据能让黑客在拥有普通域用户权限和KRBTGT账号的哈希的情况下,获取域管理员权限。我们上面已经得到域控的 system权限了,还可以使用黄金票据做权限维持,当失去域控system权限后,再通过域内其他任意主机伪造黄金票据来重新获取system权限。
这里我们已经获取到了KRBTGT账户的哈希值
并且也拿到了域的SID值,去掉最后的-1001
接下来就可以伪造一张黄金票据,我们选择最边缘的web这台主机
伪造黄金票据成功
这里为了测试用了PC,一开始是无法访问域控目录的
生成黄金票据后
那么即使域控这台主机权限掉了或密码被修改了,我们依然可以使用边缘主机的黄金票据模拟获得最高权限,由于跳过AS验证,也就无需担心域管密码被修改
PC主机执行klist
添加域管账户
beacon> shell net user hack 123qwe!@# /add /domain
beacon> shell net user /domain
beacon> shell net group "Domain Admins" hack /add /domain
在域控上查看域管账户,添加成功
0x03 两者区别
黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据(门票发放票),那么该票据是针对所有机器的所有服务。
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成ST票据(门票),这样的好处是门票不会经过KDC(密钥分发中心),从而更加隐蔽,但是伪造的门票只对部分服务起作用,如cifs(文件共享服务),mssql,winrm(windows远程管理),DNS等等。
域渗透-白银票据和黄金票据的利用相关推荐
- 「Active Directory Sec」白银票据和黄金票据
描述 白银票据: 即伪造的TGS.当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器.此过程不需要KDC的参与.但缺点是只能访问一个服务. 黄金 ...
- 域渗透 | 白银票据利用
安全库:http://www.seclibs.com/ 网络安全爱好者的安全导航,专注收集信安.红队常用网站.工具和技术博客 目录 0x01 介绍 0x02 白银票据利用 0x01 介绍 之前,我们已 ...
- 内网渗透--CS伪造黄金票据与白银票据
内网渗透--CS伪造黄金票据与白银票据 一 环境准备 二.伪造黄金票据 三.伪造白银票据 一 环境准备 做这个试验我们需要 一台域控制器 ip:192.168.248.20 两台加入了域的主机 ip: ...
- 域权限维持—黄金票据和白金票据
黄金票据和白金票据 前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy( ...
- 一文了解黄金票据和白银票据
前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiw ...
- 利用非约束性委派+Spooler打印机服务 制作黄金票据攻击域控
目录 前言 攻击过程 Rubeus监听 利用打印服务强制让域控机向本机验证身份 提取TGT 注入TGT票据到当前会话并导出域控中所有用户的hash 制作黄金票据 前言 继上一篇 --> 域渗透- ...
- 域渗透PTT票据传递攻击(Pass the Ticket)
文中主要讲解内网域环境,通过学习掌握域环境,更快知晓内网工作原理.本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精:本文中提到的任何技术都源 ...
- 白银票据/黄金票据构造分析
大家最好在看这篇文章之前,去看下我写的那篇关于认证协议分析的文章:NTLM与kerberos认证体系详解 (下面所说的Server hash指的是服务端机器用户的NTLM hash) 我们的白银票据和 ...
- 基于MSF框架下的kiwi模块制作黄金票据
目录 一.kiwi模块使用简介 1.权限问题 2.使用注意事项 3.关于kiwi的命令简介 二.实验过程 1.环境构成 2.实验步骤 三.黄金票据的制作使用 1.制作票据的条件,以及如何获取该条件内容 ...
最新文章
- 基于jenkins结合git实现web程序的多服务器批量发布
- 流式机器学习算法的入门和认知
- 2019 Multi-University Training Contest 1 - 1004 - Vacation - 二分 - 思维
- boost::mp11::mp_nth_element_q相关用法的测试程序
- html免费天气预报代码,免费自我定制天气预报代码
- 【先生】丘成桐:中国人可以做世界一流学者
- [3/21]Windows Server 2008时钟方面的改进展示
- webpack上线版(生产环境中推荐使用)
- 清空邮件队列中的邮件
- python3.0与2.x之间的区别
- llinux文本三剑客之grep、egrep及相应的正则表达式和用法
- 每天一个linux命令(28):diff 命令
- File类和时间类的两道综合练习
- pert计算公式期望值_PERT方法:用于计算各工序和工时的方法
- 温度采集系统(开源 原理图、PCB文件+源码+云平台+app端设计方案)
- 颜色中英文对照表颜色名字色彩名称
- Python中的图像增强
- 第2章 无人艇局部危险避障算法研究
- 构建面向未来的前端架构
- 洛谷P4711 【化学】 相对分子质量 简单题解