黄金票据 --- kerberos学习记录

于 2024-08-05 16:49:17 发布
阅读量801 收藏 8
点赞数 15
文章标签: 学习 网络 网络攻击模型 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50296568/article/details/140926464
版权

文章目录

Kerberos协议是怎么工作的

这里首先要搞懂几个概念:

  1. 认证服务器(Authentication Server,AS):负责首次身份验证和颁发TGT(Ticket Granting Ticket)给用户。用户通过AS向Kerberos服务器发送身份验证请求,并在验证通过后获取TGT。

  2. 授权票证颁发服务器(Ticket Granting Server,TGS):负责颁发服务票证(Service Ticket)给用户,以便用户可以访问特定的服务。用户使用TGT向TGS发送服务请求,并在TGS验证通过后获取服务票证。

  3. 客户端:需要访问特定服务的用户。

  4. 服务端:提供特定服务的服务器。

  5. 许可证授予服务(Key Distribution Center,KDC):AS和TGS的组合,负责颁发TGT和服务票证。在一些Kerberos实现中,KDC是AS和TGS的逻辑实体。

  6. 加密算法:Kerberos使用对称加密算法,如DES(Data Encryption Standard)或AES(Advanced Encryption Standard)来保护用户凭据和票证的安全性。

简单了解以上概念,接下来就是 Kerberos协议的工作流程:
这个流程有点像买票,客户端前往认证服务器(AS)请求认证是安全的人员。

  1. 认证请求:这个时候客户端需要向Kerberos认证服务器请求一个票据,以证明其身份。客户端向Kerberos认证服务器发送一个KRB_AS_REQ

  2. 在认证服务器(AS)接收到客户端的请求后,会首先验证客户端的身份。认证服务器会检查客户端的身份是否存在(对比服务器里面的数据是否有客户端的名字),并且验证客户端发送的请求是否有效(校验时间戳是否超时)。授权票据:Kerberos服务器收到认证请求后,生成一个称为"授权票据"(Ticket Granting Ticket,TGT)的加密令牌。该令牌包含了客户端的身份信息和一个用于与服务器进行通信的"票据加密密钥"(Ticket-Granting Ticket Session Key,TGS Session Key)。

  3. 授权票据传输:Kerberos服务器将TGT加密后发送给客户端。

  4. 授权票据校验:客户端收到TGT后,使用自己的密码解密TGT,提取出TGS Session Key,并用TGS Session Key加密一个称为"授权票据校验"(Authenticator)的令牌,发送给Kerberos服务器。

  5. 服务票据请求:Kerberos服务器收到Authenticator后,使用客户端的TGS Session Key解密Authenticator,验证客户端的身份。验证成功后,服务器使用自己的密钥数据库中的服务器密钥解密Authenticator,提取出客户端的身份信息。

  6. 服务票据生成:如果认证成功,Kerberos服务器生成一个称为"服务票据"(Service Ticket,ST)的加密令牌。该令牌包含了客户端的身份信息和一个用于与目标服务器进行通信的"票据加密密钥"(Service Session Key)。

  7. 服务票据传输:Kerberos服务器将ST加密后发送给客户端。

  8. 服务票据校验:客户端收到ST后,使用自己的密码解密ST,提取出Service Session Key,并用Service Session Key加密一个称为"服务票据校验"(Authenticator)的令牌,发送给目标服务器。

  9. 服务访问:目标服务器收到Authenticator后,使用Service Session Key解密Authenticator,验证客户端的身份。如果验证成功,则客户端被授权访问目标服务器提供的服务。

一、黄金票据

黄金票据攻击的基本思想是利用域控制器上的域账户(通常是Kerberos TGT凭证)的加密密钥,生成合法的Kerberos票据,从而获得对域内资源的未经授权的访问权限。

利用条件

黄金票据攻击的利用条件如下:

1.攻击者必须能够获得域控制器的NTLM哈希。
2.攻击者必须拥有域内任意计算机的管理员权限。
3.攻击者必须能够与目标计算机建立有效的Kerberos票据。
简单来说就是需要一下几个东西:
1.DC密钥分发中心账户krbtgt的hash值
2.域名
3.域的SID值(最后4位不要:说的就是”-500“)
4.需要伪造的用户(比如admin)

利用步骤

简单来说在一下步骤:

  1. 获取域控制器账户散列值(hash):首先获取域控制器上krbtgt域账户的散列值,这可以通过各种手段如哈希转储、域控制器上的缓存等获得。这个krbtgt的账户的只在域控中存在,可以先用 net user 命令查看是否有krbtgt账户。使用 systeminfo 命令查看域名。使用 whomai 命令查看域的sid。可以使用mimikatz.exe工具查看krbtgt的hash值。
lsadump::dcsync /domain:域名 /user:krbtgt

这里要求一定要是管理员账户才能有用。

  1. 删除本机域内其他机器的票据
kerberos::purge
  1. 生成黄金票据:黄金票据是伪造的Kerberos票据,包含了有效的身份验证和授权信息。注入黄金票据:攻击者将生成的黄金票据注入到目标域环境中,通常通过域控制器的票据注入功能或修改域内工作站的票据缓存,使其接受并信任黄金票据。获取高权限访问:一旦黄金票据被注入,攻击者就可以使用任意身份进行域内访问,绕过身份验证过程。攻击者可以获取域内资源的高权限访问,并且可以模拟任何用户进行活动,而这些活动都将被视为合法。
kerberos::golden /user:administrator /domain:域名 /sid:SID值 /krbtgt:NTLM-HASH /ptt
  1. 尝试横向移动
psexec.exe \\域控名 cmd.exe
shell dir \\域控名\c$
B1ackMa9ic
关注
  • 15
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【内网学习笔记】28、黄金票据
TeamsSix 的 CSDN 空间
09-27 508
0、前言 RT 在利用黄金票据(Golden Ticket)进行 PTP 票据传递时,需要先知道以下信息: 伪造的域管理员用户名 完整的域名 域 SID krbtgt 的 NTLM Hash 或 AES-256 值 其中 krbtgt 用户是域自带的用户,被 KDC 密钥分发中心服务所使用,属于 Domain Admins 组。 在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的,因此如果知道了 krbtgt 用户的 NTLM Hash 或者 AES-256 值,就可以伪造域内任意用户的身
kerberos-docker:用于kerberos服务器的轻量级docker映像
05-09
kerberos-docker 基于Alpine Linux的轻量级Kerberos Server docker映像。 用法 Docker映像根据以下环境变量配置kadmind和krb5kdc服务器并启动服务器。 环境变量 默认值 描述 REALM_NAME Example.COM 领域名称 ...
横向移动 --> PTT(Kerberos)
huohaowen的博客
03-16 839
好不容易到了周末,终于有时间来写自己的东西了,那么就来讲一下PTT吧。
Kerberos黄金票据详解
渗透测试研究中心
12-27 1982
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用于向......
kerberos认证及黄金票据与白银票据
qq_64951792的博客
05-22 1039
kerberos认证过程、黄金票据、白银票据
内网渗透-(黄金票据和白银票据)详解(一)
duoba_an的博客
03-31 1553
Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限,到此完成整个认证流程(大多数服务并没有验证PAC这一步)。这个是启用PAC支持的扩展。
内网安全:Kerberos域认证流程---黄金票据和白银票据
god_Zeo的安全博客
05-12 4000
文章目录0x00 前提0x01 Kerberos域认证域认证大致流程:第一部分:生成TGT 和 session key第二步:获取要访问的 server ticket第三部 向客户端向服务器请求认证0x01 白银票据(Silver Tickets)伪造白银票据(Silver Tickets)0x02 黄金票据(Golden Ticket)伪造黄金票据0x03 黄金票据和白银票据比较0x04 参考 0x00 前提 算是学习之后总结记录,加深自己的理解,这里我是参考了倾旋师傅的讲解,感觉讲的比较好,加入自己的
黄金票据、白银票据与ms14-068
mashiro_hibiki的博客
06-06 607
安全技术水平的催化者,星球针对成员的技术问题,快速提供思考方向及解决方案,并为星友提供多种方向的学习资料、安全工具、POC&EXP以及各种学习笔记等,以引导者和催化剂的方式助力安全技术水平的提升。黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户。我们是一个快速成长的team,团队的发展方向与每一位星友的学习方向密切相关,加入我们,一起成为更好的自己!ms14068的漏洞原理是伪造域管的tgt。
Kerberos 认证、黄金票据、白银票据
weixin_51559599的博客
11-29 686
在实际环境中,有各种各样的服务都需要进行认证,需要频繁输入密码进行认证,不仅繁琐,而且频繁传输密码加大了出现中间人劫持等安全风险。服务器持有 TGS 颁发的票据后,携带票据访问相应的服务可获取响应的服务权限。AS(Authentication Service)所在的服务器存储了用户凭证,用户输入账户密码进行认证成功后,AS 向用户颁发。(身份票据),用户获取 TGT 后,凭借 TGT 即可向 TGS 申请各种服务票据(ST),用来获取各种服务的权限。白银票据就是伪造了 Kerberos 中的服务票据
kerberos黄金票据、白银票据
m0_73826804的博客
02-20 1266
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。/sid:SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。白银票据就是伪造的ST,TGS返回的票据
Kerberos-Authentication-Protocol-master.zip_Kerberos
09-24
- 步骤1:用户向Kerberos认证服务器(AS)请求会话密钥和初始票据(Ticket-Granting Ticket, TGT)。 - 步骤2:AS验证用户身份后,返回TGT和临时会话密钥。 - 步骤3:用户用TGT向TGS请求特定服务的票据,TGS验证...
商业编程-源码-Kerberos 留言簿 v1.0.zip
06-21
Kerberos 留言簿 v1.0 源码分析》 ...总的来说,“商业编程-源码-Kerberos 留言簿 v1.0.zip”是一个宝贵的教育资源,对于想要深入理解和应用Kerberos协议的开发者来说,它提供了丰富的实践素材和学习机会。
rxrpc-type.rar_Kerberos
09-20
它通过分发加密的票据来验证用户和服务的身份,这些票据安全Kerberos服务器上生成,并在客户端和服务端之间交换。 RxRPC与Kerberos IV的结合主要体现在RxRPC的认证机制中。在RxRPC协议中,Kerberos IV被用作一...
KerberosPrinciple-Chinese:Kerberos原理--经典对话 中文版
05-01
Kerberos原理--经典对话 中文版最近在学习Kerberos原理,无意间发现了,好家伙全是英文,果断网上寻找中文版。但网上的翻译水平实在不敢恭维,很多都是机翻,读都读不通,这个我觉得还好。让我要命的是,连最基本的...
从根儿上学习spring 九 之run方法启动第四段(3)
最新发布
baidu_19338587的博客
08-04 547
一般情况下调用doGetBean方法获取的bean实例都是为了真实使用的,像我们上面举得A,B对象的例子获取的A,B对象当然都是为了真实使用的,但有种场景就只是为了做类型检查,比如有时候为了判断FactoryBean里的对象的类型就要先获取FactoryBean再通过getObject方法获取里面的真实对象来判断其类型,这时获取的FactoryBean实例可能就只是为了类型检查并不是为了真实使用。二:当bean是多例时,会有不同的创建bean的逻辑,下面我们按照代码顺序先分析单例的情况。
学习日志7.29--QOS(Quality of Service)服务质量
m0_62560069的博客
07-29 293
命令:[R1-GigabitEthernet0/0/2]qos car outbound cir 20,在接口2限制,qos限速car传出速率(outbound),速率分为传出速率和传入速率,对于这个拓扑就是传出速率,单位为20kbps。再在PC机上做发包设置,目的地址是2.2.2.2,源地址是1.1.1.1,端口号在范围允许内随便写但是要保持一致,周期发送时间间隔为10ms,一秒就可以发送100次配置好后,发送。我们日常生活中办理的是宽带,在网络速率上我们要求的是带宽,指传输的速率,比如50Mbps。
从根儿上学习spring 五 之run方法启动第二段
baidu_19338587的博客
08-04 456
讲完了PropertySources和PropertySource,我们再回头看图6的方法configurePropertySources方法似乎变得很简单没必要一行行分析了吧,这个方法就是向environment的sources属性里加入启动时的两个PropertySource,有不清楚的同学再结合我上面说的对着代码看两遍就清楚了,我就不再赘述了。Environment接口继承了PropertyResolver接口,PropertyResolver接口主要提供了获取配置属性的方法,如图3所示。
学习笔记--算法(双指针)5
weixin_71085457的博客
08-04 506
学习自用!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值