域滲透 白銀票據利用

2022-07-26 06:33:19 字數 2509 閱讀 8145

0x01 介紹

0x02 **票據利用

之前,我們已經詳細說過kerberos認證的流程,這次我們就來說說如何對其進行利用,這次主要說的是**票據偽造(silver tickets)

**票據偽造利用的是kerberos認證中的第三個步驟,在第三步的時候,client會帶著ticket向server的某個服務進行請求,如果驗證通過就可以訪問server上的指定服務了,這裡ticket的格式是這樣的:

server hash(server session key + client info + end time)
其中client info我們是很清楚的,end time也可以根據自己當前的時間進行偽造,server session key是tgs生成的,在未向server傳送ticket的時候,server也是不知道server session key是什麼的,所以只要我們知道server hash就可以去訪問server中的指定服務了。

其實與其說這是一種利用方式,倒不如說這是乙個後門,在擁有server hash的時候,可以隨時去請求server。

根據上面的攻擊流程總結以下**票據的攻擊特點:

1.不需要與kdc進行互動

2.需要server的ntlm hash

dc 192.168.6.112

client 192.168.6.113

win7-client.zhujian.com

server 192.168.6.114

win7-server.zhujian.com

這裡我們使用檔案共享的方式來進行驗證

輸入\\win7-server.zhujian.com\c$進行驗證

發現需要輸入密碼才能進行連線

然後我們使用mimikatz去server中匯出hash

可以發現已經獲取到了hash等各種資訊

然後回到client中使用mimikatz來偽造票據

命令如下

mimikatz "kerberos::golden /domain:《網域名稱》 /sid:《域 sid> /target:《目標伺服器主機名》 /service:《服務型別》 /rc4:/user:《使用者名稱》 /ptt" exit
其中的資訊可以這樣獲得

sid不需要填最後的-500

注:這裡的目標伺服器主機名不能用這裡hostname的內容,而是要寫全稱

服務型別可以從以下內容中來進行選擇,因為我們沒有tgt去不斷申請ticket,所以只能針對某一些服務來進行偽造

其中的使用者名稱可以隨便寫,這個是不受影響的,因為在資料傳過去之前server是不知道使用者名稱的,對於傳輸流程還不太熟悉的,可以移步《windows認證 | 域認證》

所以最後得到的資訊是這樣的

然後再一次進行測試

已經可以成功訪問了

如果對windows認證有興趣的可以看一下下面的幾篇文章來學習一下《windows認證 | windows本地認證》、《windows認證 | 網路認證》、《windows認證 | 域認證》、《spn掃瞄》、《kerberoasting攻擊》

掃碼關注即可

偽造白銀票據實驗

實驗工具 實驗環境 網域名稱稱 域的sid值 域的服務賬號的密碼hash 偽造的使用者名稱,可以是任意使用者名稱,一般是偽造administrator 需要訪問的服務 一 獲取service賬戶的hash值 在域控制器上操作 通過 mimikatz 輸入命令來獲取network server下服務賬...

域滲透之金票據學習

金票據 golden ticket 偽造票據授予票據 tgt 也被稱為認證票據。krbtgt賬戶 每個域控制器都有乙個 krbtgt 的使用者賬戶,是kdc的服務賬戶,用來建立票據授予服務 tgs 加密的金鑰。與其說是一種攻擊方式,不如說是一種後門,當域控許可權掉後,再重新獲取許可權。環境域控2k3...

kerberos 票據 域滲透之黃金票據的實際利用

先介紹下kerberos協議 kerberos是一種由mit 麻省理工大學 提出的一種網路身份驗證協議。它旨在通過使用金鑰加密技術為客戶端 伺服器應用程式提供強身份驗證。在kerberos協議中主要是有三個角色的存在 1 訪問服務的client 使用者的機器客戶端 2 提供服務的server 服務端...