【渗透测试笔记】之【内网渗透——彻底理解Kerberos认证和黄金白银票据】

最新推荐文章于 2024-05-24 14:21:18 发布
最新推荐文章于 2024-05-24 14:21:18 发布
阅读量572 收藏 3
点赞数
分类专栏: 渗透测试 Cobalt Strike 内网渗透 文章标签: 渗透测试 网络安全 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44874645/article/details/119384216
版权

目录

文章目录

Kerberos

  • Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
  • 该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
  • 在以上情况下,Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。

参与角色

  • Client
  • Server
  • KDC(Key Distribution Center):
    • AS(Authentication Service)
    • TGS(Ticket Granting Service)

在这里插入图片描述

粗略认证流程

  1. client 向kerberos 服务请求,希望获取访问server 的权限。
    kerberos 得到了这个消息,首先得判断client 是否是可信赖的,也就是白名单黑名单的说法。
    这就是AS 服务完成的工作,通过在AD 中存储黑名单和白名单来区分client。
    成功后,返回ASTGT给 client。
  2. client 得到了TGT 后,继续向kerberos 请求,希望获取访问server 的权限。kerberos 又得到了这个消息,这时候通过client 消息中的TGT,判断出了client 拥有了这个权限,给了client 访问server 的权限ticket
  3. client 得到ticket 后,终于可以成功访问server。
    这个ticket 只是针对这个server,其他server 需要向TGS 申请。

详细过程

1. Client发送认证请求

  • 首先Client 向KDC 的AS 发送KRB_AS_REQ
    • Pre-authentication data(Client Hash(Timstamp)
    • Client Info
    • Server Info
      在这里插入图片描述

2. AS 返回响应信息

  • KDC 的AS(Authentication Service) 收到KRB_AS_REQ后:
    • 首先生成一个随机的Session Key
    • 然后根据Client InfoAD(Account Database)中查找到Client 对应的Client Hash(NTLM Hash)用于加密这个Session Key,得到Client Hash(Session Key)
    • 接着使用KDC的一个特殊用户(krbtgt用户)的NTML Hash即KDC Hash加密TGT,得到KDC Pass Hash(TGT)
      • TGT(Ticket Gtranting Ticket) = Session Key+Client Info
    • 最后向Client 发送KRB_AS_REP
      • Client Pass Hash(Session Key)
      • KDC Pass Hash(TGT)
        在这里插入图片描述

3. Client 向AS发送身份验证信息

  • Client 收到KRB_AS_REP后:
    • 首先使用本地的NTLM Hash解密Client Hash(Session Key),得到Session Key
    • 然后使用这个Session key加密Client Info+Timestamp,得到Session Key(Client Info+Timestamp)
    • 最后向AS 发送:
      • Session Key(Client Info+Timestamp)
      • Client Info+Server Info
      • KDC Hash(TGT)

4. AS 验证身份

  • AS收到后:
    • 首先解密KDC Hash(TGT)得到TGT,并从TGT中得到Session Key
    • 然后使用Session key解密Session Key(Client Info+Timestamp)得到Client Info+Timestamp
    • 最后比较解密出的Client Info+Timestamp与第一步收到的Client Info+Timestamp,如果一致则认证通过。

5. TGS 发送被加密的Ticket

  • AS认证通过后,TGS开始工作:
    • 首先随机生成Server Session Key,并使用Session Key加密,得到Session Key(Server Session Key)
    • 然后生成一个Ticket,并使用Server Info所对应的Server Hash加密,得到Server Hash(Ticket)
      • Ticket 中包含Server Session KeyClientInfoEnd Time
      • TicketTGT的区别:将Session Key变为了Server Session Key
    • 最后向Client 发送:
      • Session Key(Server Session Key)
      • Server Hash(Ticket)

在这里插入图片描述

6. Client 使用被加密的Ticket 向Server 发起请求

  • Client 收到Session Key(Server Session Key)Server Hash(Ticket)后:
    • 首先使用Session Key解密Session Key(Server Session Key),得到Server Session Key
    • 然后使用Server Session Key加密Client Info+Timestamp,得到Server Session Key(Client Info+Timestamp
    • 最后向Server 发送Server Hash(Ticket)Server Session Key(Client Info+Timestamp)

7. Server 收到请求后做验证

  • Server 收到后:
    • 首先使用本地Server Hash解密Server Hash(Ticket),得到Ticket
    • 然后从Ticket中得到Server Session KeyClient Info+Timestamp;
    • 接着使用Server Session Key解密Server Session Key(Client Info+Timestamp,得到Client Info+Timestamp
    • 最后将解密出来的Client Info+TimestampTicket中获取的Client Info+Timestamp对比,一致则认证通过;

在这里插入图片描述

黄金白银票据

白银票据

  • 原理(伪造Server Hash被加密的Ticket)
    • 第6步Client 向Server 发起请求的时候,票据为Server Hash(Ticket)Server Session Key(Client Info+Timestamp)而Server 除了Server Hash以外,其他都是不知道的;
    • 从而,一旦知道了Server Hash后,就可以伪造Server Session Key并生成伪造的Ticket和伪造的Server Session Key(Client Info+Timestamp)
    • 将伪造的Ticket使用Server Hash加密,就得到了伪造的Server Hash(Ticket)
    • 最后将伪造的Server Hash(Ticket)Server Session Key(Client Info+Timestamp)发送给Srever 即可以验证通过。
  • 特点
    • 需要目标服务的NTML Hash,即Server Hash
    • 不需要与KDC 交互;
    • 只能访问指定服务器;

黄金票据

  • 原理(伪造被krbtgt Hash加密的TGT)
    • 在第三步向AS 发送验证信息的时候,验证消息为:
      • Session Key(Client Info+Timestamp)
      • Client Info+Server Info
      • KDC Hash(TGT)
    • AS 又是使用KDC Hash(krbtgt Hash)解密KDC Hash(TGT)得到TGT,并从TGT中获得session Key
    • 最后再利用Session Key去解密Session Key(Client Info+Timestamp)获得Client Info+Server Info,去对比未加密的Client Info+Server Info是否一致从而验证客户端身份;
    • 所以,如果知道了KDC Hash(krbtgt Hash)就可以伪造session Key,从而伪造KDC Hash(TGT),进而发送伪造的:
      • Session Key(Client Info+Timestamp)
      • Client Info+Server Info
      • KDC Hash(TGT)
    • 最终达到身份验证的目的;
  • 特点
    • 需要KDC Hash(krbtgt Hash)
    • AS直接验证通过;
    • 可以访问任意服务器;

参考:https://www.bilibili.com/video/BV1S4411q7Cw

AA8j
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解析:Kerberos黄金票据白银票据
Sgirll的博客
07-15 793
是指攻击者获取了合法用户的TGT(Ticket Granting Ticket)的信息,然后对TGT进行篡改以生成伪造的服务票据(TGS票据)。白银票据伪装成合法的TGS票据,用于访问特定的服务,但与黄金票据不同,白银票据只能访问被篡改的服务,无法获得对整个域的完全控制。服务访问:用户使用TGS票据向目标服务发送请求,目标服务使用TGS的私有秘钥解密票据并验证用户的身份。服务票据的颁发:TGS验证TGT,并为用户生成一个服务票据(TGS票据),该票据包含有关用户和目标服务的信息,并用TGS的私有秘钥加密。
渗透黄金白银票据Kerberos认证)简介
weixin_53958661的博客
12-28 1340
图解: Kerberos认证一共分为三个阶段: Kerberos认证一共分为三个阶段 AS-REQ---AS-REP阶段:(Client和AS的认证) 1.首先Client(客户端)用自己的哈希值(NTLM-hash)对(时间戳,客,服)等数据加密后,发送给AS(身份验证服务)向AS请求TGT票据。 -----AS-REQ---- 2.当AS收到Client发来的数据后,AS会向AD(域控)发起请求,询问是否有该client用户,如果有的话就取出client的...
渗透-Kerberos认证流程详解
最新发布
2401_83799022的博客
05-24 505
kerberos是一种计算机认证协议,他能够为络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他络服务,kerberos协议中不是所有的客户端向想要访问的络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行络通信。
渗透——黄金票据白银票据
来日可期的博客
10-11 2687
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
渗透-白银票据黄金票据的利用
orange777
02-23 3798
最近做了一些靶场域渗透的实验,记录下一些关于白银票据黄金票据的问题。 0x01 白银票据的利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@域
黄金票据制作原理及利用方式
Happy峰
09-23 2683
Golden Ticket黄金票据制作原理及利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
渗透:三、Kerberos协议及票据黄金白银)伪造
liu_jia_liang的博客
02-20 3489
一、Kerberos协议 kerberos(Secure network authentication system)中文叫络安全认证系统 kerberos在进行认证过程中并不会传输用户的密码,而是通过传输tickets(票据)进行认证登陆到LDAP server。Kerberos协议主要用于计算机络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的凭证(ticket-granting-ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和S
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
python3.6.5基于kerberos认证的hive和hdfs连接调用方式
09-16
在本文中,我们将深入探讨如何使用Python 3.6.5版本通过Kerberos认证来连接Hive和HDFS。Kerberos是一种广泛使用的络身份验证协议,它为不安全的络环境提供了安全的身份验证机制。它依赖于共享密钥加密来确保通信...
渗透完全技巧.pdf
10-03
络安全】是保护络系统免受恶意攻击的关键领域,而【内渗透】则是络安全...以上所述是域渗透过程中的主要步骤和策略,这些知识对于络安全防御者来说至关重要,理解这些攻击手法有助于构建更强大的防御体系。
flink写入带kerberos认证的kudu connector
03-24
本文将详细介绍如何在Flink中配置和使用带Kerberos认证的Kudu Connector。 ### 1. Kerberos认证简介 Kerberos 是一种认证协议,它提供基于票证的验证服务,确保用户和服务之间的通信是安全的。在Hadoop生态...
Kerberos协议理解
05-05
Kerberos协议理解 Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础...
渗透--Golden Ticket(黄金票据)制作&利用
qq_62169455的博客
01-17 1313
伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用。
渗透-(黄金票据白银票据)详解(一)
duoba_an的博客
03-31 1407
Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限,到此完成整个认证流程(大多数服务并没有验证PAC这一步)。这个是启用PAC支持的扩展。
[内渗透]—票据传递
Sentiment的博客
12-08 759
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
渗透测试之内渗透学习
2201_75571291的博客
06-22 1800
渗透测试之内渗透学习
渗透Kerberos认证
include_voidmain的博客
03-04 532
声明以下内容,均为文章作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。长白山攻防实验室拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明长白山攻防实验室允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。0x01 前言Kerberos 是一种认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不
安全:Kerberos认证流程---黄金票据白银票据
god_Zeo的安全博客
05-12 3963
文章目录0x00 前提0x01 Kerberos认证认证大致流程:第一部分:生成TGT 和 session key第二步:获取要访问的 server ticket第三部 向客户端向服务器请求认证0x01 白银票据(Silver Tickets)伪造白银票据(Silver Tickets)0x02 黄金票据(Golden Ticket)伪造黄金票据0x03 黄金票据白银票据比较0x04 参考 0x00 前提 算是学习之后总结记录,加深自己的理解,这里我是参考了倾旋师傅的讲解,感觉讲的比较好,加入自己的
域权限维持(黄金票据白银票据)
qq_18811919的博客
03-19 1926
黄金票据白银票据通常被认为属于票据传递攻击(Pass-the-Ticket,简称PTT)的一种。 这是一种针对Windows身份验证系统的攻击,攻击者可以利用缺陷或弱点获取用户或系统 帐户的票据信息,然后将其用于进一步攻击或访问敏感资源本篇文章注意讲述了黄金票据白银票据的数据包分析以及如何进行PTT攻击,讲述了多种利用方式包括CS/mimikatz/Impacket等。
Windows Server AD 和 O365 高级渗透测试.pdf
10-06
络安全渗透测试漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值