域渗透 | 黄金票据利用

时间  2020-02-02
标签 渗透 黄金 票据 利用 繁體版
原文   原文链接

前几篇文章说了域渗透中白银票据的利用等内容,接下来咱们说一下黄金票据的利用方法。html

目录

0x01 介绍安全

0x02 实验session

0x03 局限性dom

0x04 防护工具

0x01 介绍

你们再回忆一下域认证的流程,白银票据是对域认证中的ticket作了手脚,那域认证的另外一个关键点TGT能不能有什么利用的方法呢,若是有了TGT的话,咱们就能够去请求服务的ticket,其实也是能够进行利用的,黄金票据就是在这个状况下利用的。学习

咱们先来明确一下所要包含的内容3d

KDC hash(session key + client name + end time)

咱们要想伪造一个TGT,最关键的地方仍是须要知道KDC hash也就是krbtgt的hash,若是咱们拥有看krbtgt的hash的话,就能够伪造一个咱们所须要的TGT,由于在下一步跟TGS请求的时候,TGS也属于KDC,也是拥有krbtgt的hash的,TGS就能够解密拿到session key,而后去解密得到client info、end time等信息,而后再进行以后的操做。日志

黄金票据的特色:code

1.须要与DC通讯server

2.须要krbtgt的hash

0x02 实验

DC 192.168.6.112

Client 192.168.6.113
WIN7-CLIENT.zhujian.com

Server 192.168.6.114
WIN7-SERVER.zhujian.com

咱们这里先不说如何拿到krbtgt的hash,咱们就假设本身已经拿到了域控而后从域控来导出hash以后在进行伪造的操做。

咱们直接在域控进行操做,在mimikatz执行如下命令

lsadump::dsync /domain:zhujian.com /user:krbtgt

file

能够看到不少krbtgt的信息,包括咱们后面伪造TGT时候所须要的全部内容

而后咱们回到client进行伪造

mimikatz "kerberos::golden /domain:<域名> /sid:<域sid> /aes256:<aes256_hmac> /user:<任意用户名> /ptt" exit

能够看到这里不须要指定服务名了,由于拿到TGT就能够请求任何服务的权限就不须要再单独指定须要哪个服务了,只要目标服务支持Kerberos认证咱们就能够进行访问,并且是具备必定的权限的,这咱们使用的仍是直接将票据导入内存,咱们也是能够将票据存到文件中而后在须要使用的时候再导入到内存中。

file

而后可使用klist再查看一下票据

file

这个时候咱们就能够对任何服务进行请求了

先看一下文件共享服务

对server端的

file

其实这个时候能够看一下当前所拥有的票据,其中就有了对WIN7-SERVER的cifs票据,跟咱们再伪造白银票据时候的状态是同样的

file

咱们再尝试一下对域控的文件共享服务访问

file

咱们再看一下票据

file

也就充分说明了咱们每次都是使用伪造TGT去请求一个新的ticket的

因为权限是很是大的,因此咱们还能够直接获取域控的cmd,咱们使用psexec来进行操做,psexec是pstools中的一个工具,能够本身去微软进行下载

https://docs.microsoft.com/zh-cn/sysinternals/downloads/psexec
psexec \\secquan-win08.zhujian.com cmd

file

0x03 局限性

这里的局限性我也没有真正尝试过,是从下面这篇文章中摘录过来的

https://www.cnblogs.com/backlion/p/8127868.html

黄金票据“欺骗”了当前域的管理权限,当KRBTGT账户密码哈希显示在做为多域AD的林一部分的子域中时存在此局限性。由于是根(root)域包含全森林管理组Enterprise Admins。因为Mimikatz经过相对标识符(RID)向票据添加了组成员资格,所以Kerberos票据中的519(企业管理)RID在其建立的域中(基于KRBTGT账户域)被标识为本地。若是经过获取域SID和附加RID建立的域安全标识符(SID)不存在,那么Kerberos票据的持有者不会收到该级别的访问权限。换句话说,在一个多域AD森林中,若是建立的Golden Ticket域不包含Enterprise Admins组,则Golden Ticket不会向林中的其余域提供管理权限。在单个域Active Directory林中,因为Enterprise Admins组驻留在此域中,这时建立Golden Ticket不存在局限性。

0x04 防护

当krbtgt用户的hash被拿到后,攻击者能够在域中进行持久性的隐藏,而且日志是没法进行溯源的,只有常常更新krbtgt用户的密码,才能使原有的票据失效,并且咱们也能够看到TGT的有效时间将是很是长的

file

文章首发公众号:无意的梦呓(wuxinmengyi)

这是一个记录红队学习、信安笔记,我的成长的公众号

扫码关注便可

file</任意用户名></aes256_hmac></域sid></域名>

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程