Kerberos的黄金票据详解

最新推荐文章于 2024-10-11 14:29:18 发布
最新推荐文章于 2024-10-11 14:29:18 发布
阅读量1.1k 收藏 6
点赞数 1
文章标签: 数据库
原文链接:http://www.cnblogs.com/backlion/p/8127868.html
版权
本文详细介绍了Kerberos的黄金票据,包括其原理、局限性、绕过方法、特点及防御措施。黄金票据允许攻击者伪造TGT,绕过权限验证,但受限于域控制器的信任边界。通过Mimikatz工具,可以生成和使用黄金票据,而防御策略包括限制域管理员权限、定期更改KRBTGT密码等。
摘要由CSDN通过智能技术生成

0x01黄金票据的原理和条件

  黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。

 

Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的  。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

黄金票据的条件要求:
1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot] 
2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value] 
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

一旦攻击者拥有管理员访问域控制器的权限,就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

 

 

0x02黄金票据局限性

  黄金票据 “欺骗”了当前域的管理权限,当KRBTGT帐户密码哈希显示在作为多域AD的林一部分的子域中时存在此局限性。因为是根(root)域包含全森林管理组Enterprise Admins。由于Mimikatz通过相对标识符(RID)向票据添加了组成员资格,因此Kerberos票据中的519(企业管理)RID在其创建的域中(基于KRBTGT帐户域)被标识为本地。如果通过获取域SID和附加RID创建的域安全标识符(SID)不存在,那么Kerberos票据的持有者不会收到该级别的访问权限。换句话说,在一个多域AD森林中,如果创建的Golden Ticket域不包含Enterprise Admins组,则Golden Ticket不会向林中的其他域提供管理权限。在单个域Active Directory林中,由于Enterprise Admins组驻留在此域中,这时创建Golden Ticket不存在局限性。

如下图所示:除非在Enterprise Admins中,否则黄金票据不能跨域信任使用,。标准的黄金票据仅限于其创建的子域

 

 

0x03绕过黄金票据局限性

 在迁移方案中,从DomainA迁移到DomainB的用户将原始DomainA用户SID值添加到新的Domai

最低0.47元/天 解锁文章
weixin_30642267
关注
黄金票据原理制作与利用
G3et的博客
01-14 633
1、用域管理运行mimikatz抓取完所需的东西 ==> 再到域用户机器上运行伪造票据。2、krbtgt只存在域控上面,普通机器提权之类的无法获取到krbtgt的hash3、黄金票据可以获取任何Kerberos 服务权限,且由 krbtgt 的 hash 加密,黄金票据在使用的过程需要和域控通信****加粗样式。
域权限维持—黄金票据和白金票据
lza20001103的博客
09-26 1417
黄金票据和白金票据 前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiwi)进行了演示,该演讲提出了Kerberos协议实现过程中的设计逻辑缺陷,也就是说Windows所有使用Kerberos的场景中都可以进行此类攻击 一、Kerberos协议 首先了解下Kerberos协议,windows域认证常用协议,也是黄金票据和白银票据的攻击场景 大致流程如下:
黄金票据~
Y22Lee的博客
06-04 1228
这里大家肯定有点矛盾,我既然都可以获取krbtgt,我直接使用域中的机器进行PTT就可以了,为什么还要用工作组中的机器(如果域中的机器有杀软呢?黄金票据的制作有多种方式,黄金票据本质上是伪造TGT,既然是伪造所以在任何电脑上都可以伪造,生成的TGT票据就可以打入内存(PTT),从而实现对整个域的控制,接下来我们看一下如何伪造。黄金票据一般是伪造的TGT,生成这个TGT,不需要和KDC进行校验,金票可以在本地直接生成,生成的的金票在非域机器和域内机器都可以使用。第三步:获取伪造TGT使用的域SID和域名。
白银票据黄金票据的区别
最新发布
m0_57836225的博客
10-11 512
就如同我们坐高铁需要先在网上购票,这就相当于向服务端发起请求获取高铁票。购票后到达高铁站进行票检的过程,类似于从 AC a as 获取到 tgt 信息后发送给 TGS 进行验证。只有票检通过(TGS 验证完成),我们才能拿着票据找到乘务员得知自己的位置(找到服务器)。
黄金票据(Golden Ticket)的原理与实践
weixin_30894583的博客
07-19 2449
0、黄金票据是什么? 在与认证过程中,经过client与AS的通信会得到TGT,带着TGT想TGS请求,得到票据ticket,用这个ticket可以来访问应用服务器。如果这段有什么疑问,欢迎参考Kerberos认证协议分析。而这个黄金票据就是自己生成的TGT,在生成TGT的过程中,user、domain、timestamp、还有权限等信息会经过krbtgt(该账号不自动更新)账户hash的加密,...
黄金票据 --- kerberos学习记录
qq_50296568的博客
08-05 1193
授权票据校验:客户端收到TGT后,使用自己的密码解密TGT,提取出TGS Session Key,并用TGS Session Key加密一个称为"授权票据校验"(Authenticator)的令牌,发送给Kerberos服务器。服务票据校验:客户端收到ST后,使用自己的密码解密ST,提取出Service Session Key,并用Service Session Key加密一个称为"服务票据校验"(Authenticator)的令牌,发送给目标服务器。如果验证成功,则客户端被授权访问目标服务器提供的服务。
解析:Kerberos黄金票据和白银票据
Sgirll的博客
07-15 1022
是指攻击者获取了合法用户的TGT(Ticket Granting Ticket)的信息,然后对TGT进行篡改以生成伪造的服务票据(TGS票据)。白银票据伪装成合法的TGS票据,用于访问特定的服务,但与黄金票据不同,白银票据只能访问被篡改的服务,无法获得对整个域的完全控制。服务访问:用户使用TGS票据向目标服务发送请求,目标服务使用TGS的私有秘钥解密票据并验证用户的身份。服务票据的颁发:TGS验证TGT,并为用户生成一个服务票据(TGS票据),该票据包含有关用户和目标服务的信息,并用TGS的私有秘钥加密。
【清晰】Kerberos安全体系详解.pdf
07-20
3. Kerberos通信流程详解Kerberos认证流程中,所有通信都包含两部分信息:一部分是可解码的明文信息,另一部分是通过用户的密码进行加密的密文信息。通信内容包括用户名、IP地址、票据的有效时间和生命周期、会话...
Kerberos 认证协议详解
02-14
3. 票据(Ticket):Kerberos使用票据来保证通信双方的安全性。票据是用户和服务端进行认证的凭证,它们包含会话密钥和其他相关信息,这些信息被加密并由KDC签名以防止篡改。 Kerberos v5在实现中还包括对多种加密...
Kerberos认证协议详解票据机制与安全特性
Kerberos票据主要包括两种类型:票据许可票据(Ticket Granting Ticket, TGT)和服务许可票据(Service Granting Ticket, STT)。TGT是由认证服务器(AS)发放的,用户在登录时获取,用于后续请求特定应用服务器的...
kerberos 票据_黄金票据(Golden Ticket)攻击
weixin_32252929的博客
12-25 2238
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 37 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更黄金票据在渗透测试过程中,攻击者往往会给自己留下多条进入内网的通道,如果我们忘记将 krbtgt 账号重置,攻击者就能快速重新拿到域控制器的权限。假设域内存在一个 SID 为 502 的域账号 krbtgt 。krbtgt 是 K...
一文了解黄金票据和白银票据
热门推荐
闵行小鱼塘
05-13 1万+
某老哥的一次面试里问到了这个问题,故来做一番了解:该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiwi)进行了演示,该演讲提出了Kerberos协议实现过程中的设计逻辑缺陷,也就是说Windows所有使用Kerberos的场景中都可以进行此类攻击
黄金票据的原理和使用
qq_45455136的博客
09-28 1418
krbtgt用户是系统在创建域时自动生成的账号,密码是随机生成的,无法登录主机,是KDC(密钥分发中心)的服务账号。在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的 TGT票据加密使用的TGS(票据授予服务器)密码就是krbtgt用户的NTLM Hash Kerberos中的TGT和CT_SK是AS(认证服务器)返回的,TGT是由krbtgt加密和签名的,krbtgt的NTLM Hash是固定的,CT_SK不会保存在KDC中 得到krbtgt的NTLM Hash就可以伪造
黄金票据——域渗透
include_voidmain的博客
03-14 697
0x01前言 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。攻击者一旦拿到域管权限的账号就可以伪造出黄金票据,逃过账号和密码的验证,即使修改管理员密码,攻击者依然能通过黄金票据进行访问。 0x02原理 kerberos认证中Client通过AS认证后,AS会给Client一个由Client的Master Key加密过的和TGT,Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到NTLM就能伪造TGT和Logon session key,
黄金票据&&白银票据
huohaowen的博客
02-20 719
今天来讲讲黄金票据&&白银票据
内网渗透——黄金票据与白银票据
来日可期的博客
10-11 3633
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
黄金票据和白银票据
weixin_58954236的博客
10-11 327
PTH:哈希传递PTT:票据传递(黄金票据和白银票据
域渗透——哈希传递、黄金票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 895
域渗透 1. 安装域 接着点击安装向导 加入域: 需要设置dns服务器为域控机 域控可以登陆任意域中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看域控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是域控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取域
一文搞懂黄金白银票据
m0_75218183的博客
06-29 1126
在学习黄金白银票据之前,我们先要搞懂Kerberos(三头保卫神犬)协议。Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值