内网域渗透 | 金银票据传递攻击(Pass The Ticket)

转自：韭要学安全

前置知识

Kerberos是一种计算机的认证协议，在域中，依旧使用kerberos作为认证手段。他提供了一种单点登录（SSO）的方法，比如打印服务器、邮件服务器和文件服务器。这些服务器都有认证的需求，很自然的，不可能让每个服务器自己实现一套认证系统，而是提供一个中心认证服务器（AS-Authentication Server）供这些服务器使用，这样任何客户端就只需要维护一个密码就能登录所有服务器。

角色：

客户端（Client）、身份认证服务（AS）、票据授予服务（TGS）、普通服务器（Server）

金银票据攻击

黄金票据、白银票据攻击是基于kerberos认证协议的攻击方式，常用来做后渗透域控权限维持。由于用户正常访问资源是也会请求服务票证，因此黄金、白银票据攻击具备很高的隐蔽性。

在kerberos认证中，主要解决两个问题

第一个问题：如何证明你本人是XXX用户的问题。（身份问题，黄金票据所在的问题，AS负责）

第二个问题：提供服务的服务器如何知道你有权限访问它提供的服务。当一个Client去访问Server服务器上的服务时，Server如何判断Client是否有权限来访问自己主机上的服务。（白银票据所在的问题，TGS负责）

Kerberos协议认证流程

Kerberos协议的基本流程是Client先通过AS（身份认证服务）进行身份认证，认证通过后AS会给Client一个TGT（票据授权票），Client将获取到的TGT发送到TGS（票据授予服务）进行身份验证，验证通过后TGS会给Client一个ST（服务票据），Client通过这个ST去访问指定Server上的服务。

伪造黄金票据

在kerberos认证中，Client通过AS认证后，AS会给Client一个TGT，而TGT是通过域控服务器上krbtgt账户的Hash进行加密的，所以只有得到krbtgt的Hash，就可以伪造TGT来进入下一步Client与TGS的交互。而在有了黄金票据后，就跳过AS验证，不用验证账户和密码，所以也不担心域管来修改密码。意思就是，当攻击者能够获得krbtgt的Hash后，攻击者就可以伪造一张票据授权票，去伪造成域内的任意用户访问域内kerberos认证的所有服务。

下面是黄金票据演示（虚拟机实验环境演示，切勿带入实战）：

环境：

域控windows server 2012 ip:192.168.4.136

域内主机 win7 （伪造方）ip:192.168.4.138

域 feng.com

下面是域控上操作

权限维持krbtgt权限

以管理员运行mimikatz

下面是win7操作

dir \WIN-T09MBKM9HIT.feng.comc$

然后正常运行mimikatz

kerberos::golden /user:administrator /domain:feng.com /sid:S-1-5-21-2149019885-2061172686-904760113 /krbtgt:d0bea82cce69a2090f7309c418df2df2 /ptt

dir \WIN-T09MBKM9HIT.feng.comc$

拿到票据能读c盘，然后用psexec直接连

成功了。。。

要进行下一个白银票据实验记得删除票据，执行klist purge就行

下面附上黄金票据演示视频：

黄金票据和白银票据的区别

1.访问权限不同

黄金票据：伪造票据授权票（TGT），可以获取任何kerberos服务权限。

白银票据：伪造服务票据，只能访问指定的服务。

2.加密方式不同

黄金票据：由krbtgt的NTLM Hash加密。

白银票据：由服务账号（通胀为计算机账户）的NTLM Hash加密。

3.认证流程不同

黄金票据：利用过程需要访问域控。

白银票据：不需要访问域控。

文章内容为个人笔记，部分内容为网上复制粘贴的，如有雷同或侵权，可以公众号联系我删除文章。

文章仅供学习参考，过程也是利用本地虚拟机演示，请勿利用文章内的相关技术从事非法测试，如因产生的一切不良后果与文章作者和本公众号无关。

   学习更多技术，关注我：  

觉得文章不错给点个‘再看’吧

原文始发于微信公众号（哪都通安全）：内网域渗透 | 金银票据传递攻击(Pass The Ticket)