黄金票据&&白银票据

以前听黄金票据，白银票据的时候，总感觉很高级，于是今天就来一起了解一下吧（本篇偏向对应的基础，不涉及到演示我环境没搭）

1.黄金票据（Golden_Ticket）

我们众所周知，在AS-REP的过程中，KDC中的AS会返回随机生成的sessionkey（加密后），以及TGT等，然后用户收到之后用自己的hash对时间戳，主机名这些解密得到sessionkey，并且用sessionkey对自己的时间戳，主机信息加密，结果和TGT一起返回，这就是TGS-REQ的过程

那么，我们是不是可以直接伪造一个TGT和Sessionkey

在我们已知道krbtgt的hash的时候，我们就可以直接通过伪造一个sessionkey然后将sessionkey和一些主机信息通过krbtgt的hash进行加密生成一张TGT然后直接进行TGS-REQ部分

这样的好处就是可以直接伪造域内的任何用户，并且可以用于权限维持，持久化等等

但是得拿下域控！！！这个是一个难点

所以黄金票据的特点就是不与KDC的AS进行交互，需要krbtgt的hash，域内的SID，而且KDC在生成了sessionkey之后是不会保留的，导致了攻击的存在

对于黄金票据的生成，cs里面有一键的功能，在以后用到的时候我再去演示

 看就是这里！！嘻嘻

2.白银票据（Silver_Ticket）

众所周知，在TGS-REP的时候，客户端会收到客户端的hash加密后的新的sessionkey，以及包含新sessionkey的TS，然后，用户解密之后获得了新的sessionkey，再对时间戳，主机名用新的sessionkey加密，得到的结果和TS一起发送给服务端，这个就是AP-REQ的过程

那么同理，我们是不是也可以伪造一个sessionkey和TS

在知道了客户端的hash之后，我们可以先伪造一个sessionkey，然后将sessionkey和一些相应信息用服务端的hash进行加密，得到一张TS，然后直接进行AP-REQ的过程

这样的好处就是不需要拿下域控的权限，就可以进行一些服务的访问 

但是得拿下对应的server的hash，这个也不容易

所以白银票据的特点就是不需要与KDC进行交互，只需要知道server的hash和域的sid，而且server不知道sessionkey是否为真，以及TGS发完sessionkey之后的不保存导致了白银票据

但是对于白银票据，cs并没有一键生成的功能，就要用到mimikatz了，这个后续我也会演示

3.总结

黄金票据：其实就是伪造了一张TGT以及对应的sessionkey，然后伪造系统中的任何用户

白银票据：其实就是伪造了一张TS以及对应的sessionkey，更加隐秘，但是只对部分的服务起作用（这也是白银票据的一个相应的缺点）