内网渗透之PPT票据传递攻击(Pass the Ticket)

最新推荐文章于 2025-03-13 16:34:07 发布
最新推荐文章于 2025-03-13 16:34:07 发布
阅读量2.1k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 内网渗透 文章标签: 网络 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_53742230/article/details/126082093

文章目录

内网渗透之PPT票据传递攻击(Pass the Ticket)

本次实验环境靶场来自于暗月(moonsec)师傅,文中内容全由个人理解编制,若有错处,大佬勿喷,个人学艺不精;本文中提到的任何技术都源自于靶场练习,仅供学习参考,请勿利用文章内的相关技术从事非法测试,如因产生的一切不良后果与文章作者无关。

前言

在了解票据传递攻击之前我们先了解一下,Kerberos 协议& Kerberos 认证原理。以下都是一些理论知识觉得不喜欢的可直接跳到后面(其实我也没弄懂)。

Kerberos 协议& Kerberos 认证原理

Kerberos 协议是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。其设计目标是通过密钥系统为客户机与服务器应用程序提供强大的认证服务。该协议的认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。Kerberos 协议在在内网域渗透领域中至关重要,白银票据、黄金票据、攻击域控等都离不开 Kerberos 协议。

为了让我们能够更轻松地理解后文对认证原理的讲解,你需要先了解以下几个关键角色:

  • 角色 作用

  • Domain Controller 域控制器,简称 DC,一台计算机,实现用户、计算机的统一管理。

  • Key Distribution Center 秘钥分发中心,简称 KDC,默认安装在域控里,包括 AS 和 TGS。

  • Authentication Service 身份验证服务,简称 AS,用于 KDC对 Client 认证。

  • Ticket Grantng Service 票据授予服务,简称 TGS,用于KDC 向 Client 和 Server 分发

  • Session Key (临时秘钥)。

  • Active Directory 活动目录,简称 AD,用于存储用户、用户组、域相关的信息。

  • Client 客户端,指用户。

  • Server 服务端,可能是某台计算机,也可能是某个服务。

打个比方:当 whoami 要和 bunny 进行通信的时候,whoami 就需要向 bunny 证明自己是 whoami,直接的方式就是 whoami 用二人之间的秘密做秘钥加密明文文字生成密文,把密文和明文文字一块发送给 bunny,bunny 再用秘密解密得到明文,把明文和明文文字进行对比,若一致,则证明对方是 whoami。但是网络中,密文和文字很有可能被窃取,并且只要时间足够,总能破解得到秘钥。所以不能使用这种长期有效的秘钥,要改为短期的临时秘钥。那么这个临时秘钥就需要一个第三方可信任的机构来提供,即 KDC(Key Distribution Center)秘钥分发中心。

Kerberos 认证原理

首先我们根据以下这张图来大致描述以下整个认证过程:

  1. 首先 Client 向域控制器 DC 请求访问 Server,DC 通过去 AD 活动目录中查找依次区分 Client 来判断 Client 是否可信。
  2. 认证通过后返回 TGT 给 Client,Client 得到 TGT(Ticket GrantingTicket)。
  3. Client 继续拿着 TGT 请求 DC 访问 Server,TGS 通过 Client 消息中的 TGT,判断 Client 是否有访问权限。
  4. 如果有,则给 Client 有访问 Server 的权限 Ticket,也叫 ST(ServiceTicket)。
  5. Client 得到 Ticket 后,再去访问 Server,且该 Ticket 只针对这一个 Server有效。
  6. 最终 Server 和 Client 建立通信。

下面讲一下详细的认证步骤,大概分为三个阶段:

  • ASREQ & ASREP
  • TGSREQ & TGSREP
  • AP-REQ & AP-REP

ASREQ & ASREP

该阶段是 Client 和 AS 的认证,通过认证的客户端将获得 TGT 认购权证。

当域内某个客户端用户 Client 视图访问域内的某个服务,于是输入用户名和密码,此时客户端本机的 Kerberos 服务会向 KDC 的 AS 认证服务发送一个 AS_REQ 认证请求。请求的凭据是 Client 的哈希值 NTLM-Hash 加密的时间戳以及 Client-info、Server-info 等数据,以及一些其他信息。

当 Client 发送身份信息给 AS 后,AS 会先向活动目录 AD 请求,询问是否有此Client 用户,如果有的话,就会取出它的 NTLM-Hash,并对 AS_REQ 请求中加密的时间戳进行解密,如果解密成功,则证明客户端提供的密码正确,如果时间戳在五分钟之内,则预认证成功。然后 AS 会生成一个临时秘钥 Session-Key AS,并使用客户端 Client 的 NTLM-Hash 加密 Session-key AS 作为响应包的一部分内容。此Session-key AS 用于确保客户端和 KGS 之间的通信安全。还有一部分内容就是 TGT:使用 KDC 一个特定账户的 NTLM-Hash 对 Session-keyAS、时间戳、Client-info 进行的加密。这个特定账户就是创建域控时自动生成的Krbtgt 用户,然后将这两部分以及 PAC 等信息回复给 Client,即 AS_REP 。PAC 中包含的是用户的 SID、用户所在的组等一

最低0.47元/天 解锁文章

200万优质内容无限畅学
票据传递攻击(Pass the Ticket,PtT)
谢公子的博客
06-24 4692
目录 票据传递攻击(Pass the Ticket,PtT) 黄金票据 生成票据并导入 查看票据 验证是否成功 黄金票据和白银票据的不同 票据传递攻击(Pass the Ticket,PtT) 票据传递攻击(PtT)是基于Kerberos认证的一种攻击方式,常用来做后渗透权限维持。利用的前提是得到了域内krbtgt用户的密码哈希。 关于Kerberos认证:Kerberos...
3-pass the ticket
weixin_41082546的博客
08-29 335
pass the ticket 在域环境中,Kerberos协议被用来作身份认证,这里仅介绍几个名词: KDC(Key Distribution Center): 密钥分发中心,里面包含两个服务:AS和TGS AS(Authentication Server): 身份认证服务 TGS(Ticket Granting Server)票据授予服务 TGT(Ticket Granting T...
PTT(pass the ticket)票据传递攻击
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
11-03 2480
PTT票据传递攻击,(PTT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PTH基于NTLM认证进行攻击,而PTT基于kerberos协议进行攻击票据传递攻击,目的是伪造、窃取凭据提升权限。
内网渗透(四) | 票据传递攻击
Ms08067安全实验室
06-29 3094
票据传递攻击(Pass the Ticket,PtT)票据传递攻击(PtT)是基于Kerberos认证的一种攻击方式,常用来做后渗透权限维持。黄金票据攻击利用的前提是得到了域内krbtg...
渗透——Pass The Ticket
citelao的博客
03-21 4663
渗透——Pass The Ticket 三好学生 · 2016/01/22 10:47 0x00 前言 上篇介绍了有关Pass The Hash 和Pass The Key的技巧,这次接着介绍一下Pass The Ticket 此图片引用自http://dfir-blog.com/2015/12/13/protecting-windows-networks-kerbero
渗透PTT票据传递攻击(Pass the Ticket)
Longwaer
01-21 2370
通过笔记全方位讲解,加速学习了解PTT票据传递攻击的方法及原理,更好的去掌握黄金、白银票据生成。
内网安全()---横向渗透:PTH&PTK&PTT
qi_SJQ_的博客
02-11 4694
域横向 PTH&PTK&PTT 哈希票据传递 1.知识: PTH(pass the hash) : 利用 lm 或 ntlm 的值。 PTT(pass the ticket): 利用的票据凭证 TGT 。 PTK(pass the key) : 利用的 ekeys 、aes256 。 1)PTH: PTH 在内网渗透中是一种很经典的攻击方式,原理就是攻击者可以直接通过 LM Hash 和 NTLM Hash 访问远程主机或服务,而不用提供明文密码。 如果禁用了 ntlm 认证,
内网渗透之域内横向移动
hackzkaq的博客
11-18 663
搜索公众号:白帽子左一,领配套练手靶场,全套安全课程及工具 hash 介绍 全在域环境中,用户信息存储在域控的ntds.dit(C:\Windows\NTDS\NTDS.dit)中; 非域环境也就是在工作组环境中,当前主机用户的密码信息存储着在sam文件(C:\Windows\System32\config\SAM)。 Windows操作系统通常使用两种方法(LM和NTLM)对用户的明文密码进行加密处理。 LM只能存储小于等于14个字符的密码hash 如果密码大于14个,windows就自动使用NTLM
“不一样”的真实渗透测试案例分析
HBohan的博客
07-26 3093
前言 本文是由一次真实的授权渗透案例引申而出的技术分析和总结文章。在文章中我们会首先简单介绍这次案例的整体渗透流程并进行部分演绎,但不会进行详细的截图和描述,一是怕“有心人”发现端倪去目标复现漏洞和破坏,二是作为一线攻击人员,大家都明白渗透过程也是一个试错过程,针对某一个点我们可能尝试了无数种方法,最后写入文章的只有成功的一种,而这种方法很有可能也是众所周知的方法。因此我们只会简单介绍渗透流程,然后提取整个渗透过程中比较精华的点,以点及面来进行技术分析和探讨,望不同的人有不同的收获。 白嫖的福音网安学习资.
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
这是一个关于内网渗透的文档
09-14
这个是属于empire内网渗透的这么一篇文档,里面感觉还不错。挺干的吧,适合小白
渗透攻击-Pass the Ticket 攻击(票据传递)
weixin_43227251的博客
04-13 961
Pass the Ticket 攻击(票据传递) 1.ms14-068 ​ 限制条件:打了补丁或者域中有Win2012/2012R2 域控 1.首先在域控检测是否有MS14-068这个漏洞,通过查看是否打补丁(KB3011780)来判断是否存在漏洞,下图可以看到没有打MS14-068漏洞相关的补丁 systeminfo 测试访问域控的C盘共享,访问被拒绝 3.为了使我们生成的票据起作用,首先我们需要将内存中已有的kerberos票据清除 ​ mimikatz kerberos::purge ​
票据传递攻击
qq_56426046的博客
11-12 1130
在 Kerberos 认证中,Client 通过 AS(身份认证服务)认证后,AS 会给Client 一个Logon Session Key 和 TGT,而 Logon Session Key 并不会保存在KDC 中,krbtgt 的NTLM Hash 又是固定的,所以只要得到 krbtgt 的 NTLM Hash,就可以伪造TGT和Logon Session Key 来进入下一步 Client 与 TGS 的交互。白银票据的利用过程是伪造TGS,通过已知的授权服务密码生成一张可以访问该服务的TGT。
票据传递攻击与防范
weixin_45007073的博客
07-11 964
票据传递前言使用mimikatz进行票据传递 前言 之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)。 使用mimikatz进行票据传递 我们首先使用mimikatz将内存中的票据导出。执行完以上命令后,会在当前目录下出现多个服务的票据文件,如krbtgt、cifs、ldap mim
ptt攻击
weixin_48776804的博客
06-02 443
黄金票据
银/金/钻石票据传递攻击
qq_59468567的博客
04-14 1014
意思就是,当攻击者能够获得krbtgt的Hash后,攻击者就可以伪造一张票据授权票,去伪造成域内的任意用户访问域内kerberos认证的所有服务。Kerberos协议的基本流程是Client先通过AS(身份认证服务)进行身份认证,认证通过后AS会给Client一个TGT(票据授权票),Client将获取到的TGT发送到TGS(票据授予服务)进行身份验证,验证通过后TGS会给Client一个ST(服务票据),Client通过这个ST去访问指定Server上的服务。白银票据:伪造服务票据,只能访问指定的服务。
内网渗透之PTT 票据传递攻击(Pass the Ticket)()
2303_78851087的博客
03-13 903
内网渗透之PTT 票据传递攻击(Pass the Ticket)()
[内网渗透]—票据传递
Sentiment的博客
12-08 1101
之前我们在哈希传递篇就介绍到,要想使用mimikatz的哈希传递功能,就必须具有本地管理员的权限。但是在实际的渗透环境中,我们更多的是得到一个低权限的域账户而已。mimikatz同样提供了不需要本地管理员权限进行横向渗透测试的方法,如票据传递(Pass The Ticket)
渗透测试中的域渗透之MS14-068域控提权+票据传递攻击PTT
最新发布
没有网络安全就没有国家安全
03-13 765
渗透测试中的域渗透之MS14-068域控提权+票据传递攻击PTT
内网渗透的白银票据和黄金票据是啥
08-23
内网渗透中的"白银票据"和"黄金票据"并不是真正的金融票据,而是网络安全术语。白银票据通常是指相对较低权限的攻击手段,比如利用常见的漏洞或是弱密码进行未经授权的访问,获取的信息有限,风险也较小。而黄金票据则比喻更为高级的渗透技巧,如零日攻击、系统级别的权限提升或对核心数据的深度访问,这种攻击难度大、价值高,被视为更严重的安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值