黄金票据原理制作与利用

已于 2023-01-14 20:51:46 修改
阅读量731 收藏 1
点赞数 1
分类专栏: 内网渗透 文章标签: 安全 web安全
于 2023-01-14 20:48:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangdongchengya/article/details/128689106
版权
黄金票据攻击是利用Kerberos协议漏洞,伪造域控krbtgt用户的TGT,使攻击者无需用户凭证即可访问网络资源。攻击者通常在已获取域管理员机器但无法直接获取权限时使用此方法。利用包括获取域名、SID、krbtgt NTLM hash,然后使用mimikatz生成并注入伪造票据,实现权限提升。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

原理

  • 黄金票据(golden ticket)攻击是一种滥用 Kerberos 身份认证协议的攻击方式。这种攻击利用了 Kerberos 中的一个漏洞,允许攻击者生伪造域控krbtgt用户的 TGT(Ticket-Granting Ticket),并且不受TGT生命周期的影响(TGT默认10小时,最多续订7天),这样他们就可以访问网络中的任何资源,而无需知道任何有效用户的账户凭据。黄金票据攻击可以让攻击者在域中提升权限,甚至可以取得域管理员权限。

攻击场景

  • 攻击者已经获得了域管理员的机器,但是由于某些原因(例如版本问题)无法获取域管理员的明文密码或域控权限丢失。在这种情况下,攻击者可能会尝试使用黄金票据进行横向渗透,以获得更多权限并在域中执行操作。

利用前提

  • 有krbtgt的ntlm hash或ASE256

  • 域名

  • 域的SID值

  • 伪造用户名,可以任意用户名

生成流程

获取域名

常用命令:</

了解本专栏 订阅专栏 解锁全文 超级会员免费看
3.6-SilverTicket白银票据制作原理利用方式
qq_38122566的博客
03-12 693
服务账号就是计算机名字+$用来管理服务的账号。
[域权限维持 & 票据攻击] Golden Ticket 黄金票据制作原理利用方式
Blue17 の 小窝
03-06 954
Client 在 TGS 的交互中,有了黄金票据(TGT)之后,就会自动跳过 AS 的验证即不用验证你的身份(账号和密码),然后你就可以拿着这个伪造的 TGT,去 TGS 申请任意服务,比如 ”域控的访问权“,而由于 TGT 签名是采用 Krbtgt 这个账户的密码签名的,所以即使域管改了密码,你也依旧可以拿着 ”黄金票据“ 进域控。如上,通过黄金票据,我们能轻易伪造通向域中任意计算机(包括域控)的通行证,只要目标的 Krbtgt 账户密码不更改,我们就能对这个域拥有绝对的控制权。
域渗透学习——伪造黄金、白银票据攻击
2401_88083440的博客
03-24 1396
之前在学习kerberos协议的时候,初步了解了什么是黄金票据,什么是白银票据。当Client想要访问Server上某个服务时(1)需要向AS证明自己的身份,通过验证后AS会发放一个TGT(票据授予票据)(2)随后Client会像TGS证明自己的身份,通过验证后TGS会发放一个ST(服务授予票据)(3)最后Client向Server发起认证请求。而其中,黄金票据就是, 白银票据就是在学习红日靶场(一)的过程中,我初步接触到了伪造黄金票据攻击,实现的结果为:对全域的控制。
黄金票据Golden Ticket)的原理实践
weixin_30894583的博客
07-19 2519
0、黄金票据是什么? 在认证过程中,经过clientAS的通信会得到TGT,带着TGT想TGS请求,得到票据ticket,用这个ticket可以来访问应用服务器。如果这段有什么疑问,欢迎参考Kerberos认证协议分析。而这个黄金票据就是自己生成的TGT,在生成TGT的过程中,user、domain、timestamp、还有权限等信息会经过krbtgt(该账号不自动更新)账户hash的加密,...
黄金票据和白银票据
最新发布
weixin_57239983的博客
04-27 635
黄金票据攻击者通过获取域控制器(DC)中KRBTGT账户的密码哈希值,伪造的Ticket Granting Ticket(TGT)。持有黄金票据攻击者可以伪造任意用户的身份,获取域内任意服务的访问权限,且票据有效期可自定义(默认10年),具有极高的持久性和隐蔽性。ST是Kerberos认证流程中用于访问特定服务的票据黄金票据不同,白银票据仅针对特定服务(如CIFS、LDAP、MSSQL等),无需域控制器交互,且票据有效期默认较短(通常为10小时),但隐蔽性更高,不易被检测。
Kerberos的黄金票据详解
weixin_30642267的博客
12-27 1177
0x01黄金票据原理和条件 黄金票据是伪造票据授予票据(TGT),也被称为认证票据。如下图所示,域控制器没有AS-REQ或AS-REP(步骤1和2)通信。由于黄金票据是伪造的TGT,它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。 Kerberos黄金票据是有效的TGT Kerberos票据,因为它是由域Kerberos帐户(KRBTGT)加密和签名的。TGT仅用...
黄金票据~
Y22Lee的博客
06-04 1362
这里大家肯定有点矛盾,我既然都可以获取krbtgt,我直接使用域中的机器进行PTT就可以了,为什么还要用工作组中的机器(如果域中的机器有杀软呢?黄金票据制作有多种方式,黄金票据本质上是伪造TGT,既然是伪造所以在任何电脑上都可以伪造,生成的TGT票据就可以打入内存(PTT),从而实现对整个域的控制,接下来我们看一下如何伪造。黄金票据一般是伪造的TGT,生成这个TGT,不需要和KDC进行校验,金票可以在本地直接生成,生成的的金票在非域机器和域内机器都可以使用。第三步:获取伪造TGT使用的域SID和域名。
黄金票据制作原理利用方式
Happy峰
09-23 3084
Golden Ticket黄金票据制作原理利用方式 Krbtgt账户介绍 krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成 的,无法登录主机 黄金票据原理 TGT=Krbtgt的html hash 加密 1、Kerberos中的TGT和Logon Session Key(CT_SK)是AS返回的 ,TGP它是由Krbtgt加密和签名的 ,krbtgt的NTLM Hash又是固定的,而CT_SK并不会保存在KDC中。 2、所以只要得到krbtgt
内网渗透--Golden Ticket黄金票据制作&利用
qq_62169455的博客
01-17 2551
伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用。
白银票据原理制作利用
G3et的博客
01-19 399
1、如果是域普通用户,主要看防火墙,开了防火墙可能会导致dir过不去2、白银票据伪造的是ST,只能访问特定的服务,如cifs(文件共享服务)、winrm(远程管理)3、白银票据获取的是服务的hash4、白银票据不通过kdc,相对黄金票据银票更加隐蔽。
3.5-GoldenTicket黄金票据制作原理利用方式
qq_38122566的博客
03-12 585
krbtat用户,是域控系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成的,无法登录主机。
黄金票据原理和使用
qq_45455136的博客
09-28 1712
krbtgt用户是系统在创建域时自动生成的账号,密码是随机生成的,无法登录主机,是KDC(密钥分发中心)的服务账号。在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的 TGT票据加密使用的TGS(票据授予服务器)密码就是krbtgt用户的NTLM Hash Kerberos中的TGT和CT_SK是AS(认证服务器)返回的,TGT是由krbtgt加密和签名的,krbtgt的NTLM Hash是固定的,CT_SK不会保存在KDC中 得到krbtgt的NTLM Hash就可以伪造
黄金票据制作-新手入门
weixin_42109829的博客
12-27 2531
0x01 前言 相信准备学习内网渗透的人,都会知道有黄金票据这个事情,而黄金票据原理是和攻击方式,网站说的都一大堆概念,很难懂,这里我说声明一下,黄金票据的作用在于做权限维持 ,原理在于域服务器上有一个krbtgt用户 0x02 黄金票据和krbtgt 用户的关系 ​ Golden Ticket(下面称为金票)是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。可以说有了金票
黄金票据制作使用
热门推荐
Shanfenglan's blog
08-27 24万+
原理 黄金票据原理就是用krbtgt的hash来伪造TGT的内容。更改里面的client参数session key等。让TGS以为我就是那个我所声称的人,当然我一般会声称自己是administrator。第四步主要是来验证客户端的身份。 所谓的黄金票据其实就是kerberos认证的第二个阶段中的tgs的ticket也就是TGT。这个ticket相当于对请求端的一个身份认证的凭据,如果可以伪造这个ticket,那么就可以伪造任意身份,而黄金票据就是一个实现方式。 kerberos协议原理请参考:NTML认
黄金/白银票据制作
weixin_67925097的博客
08-29 1506
免责声明:该文章仅提供学习交流,若用于违法行为本人无关。
3.4 Golden Ticket黄金票据制作原理利用方式
GloryGod的博客
08-24 474
krbtgt用户,是系统在创建域时自动生成的一个帐号,其作用是密钥分发中心的服务账号,其密码是系统随机生成的,无法登录主机。
黄金票据制作
m0_70613012的博客
04-02 414
三个靶场的操作系统分别为Windows Server 2016、Windows 10和Windows 7。其中Windows Server 2016担任域控制器的角色,而Windows 10和Windows 7则作为域成员机。在域中有三个用户分别为:demo1、demo2和demo3。使用黄金票据前提是你已经控制了整个域的域控制器。使用mimikatz中的kerberos::golden模块创建黄金票据,该票据的格式为.kirbi。首先我们先登录一个域的普通账户,然后尝试通过dir访问域控的共享文件夹。
域渗透-白银票据黄金票据利用
orange777
02-23 4032
最近做了一些靶场域渗透的实验,记录下一些关于白银票据黄金票据的问题。 0x01 白银票据利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@域
kerberos 票据_域渗透之黄金票据的实际利用
weixin_39861905的博客
12-25 547
先介绍下Kerberos协议:Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。在Kerberos协议中主要是有三个角色的存在:1:访问服务的Client(用户的机器客户端)2:提供服务的Server(服务端)3:KDC(Key Distribution Center)密钥分发中心其中KDC服务默认会安装在一...
黄金票据
03-21
### 黄金票据概述 黄金票据是一种针对 Kerberos 协议的高级攻击形式,它允许攻击者通过伪造 Ticket Granting Ticket (TGT) 来获取对域资源的广泛访问权限。这种攻击的核心在于利用 `krbtgt` 账户的 NTLM 哈希值来创建看似合法的 TGT[^1]。 #### 攻击条件 成功执行黄金票据攻击的前提条件包括以下几个方面: - 获取域控制器中 `krbtgt` 账户的 NTLM 哈希值。 - 掌握目标域的相关信息,例如域名和域 SID(Security Identifier)[^5]。 - 拥有域内某台计算机的管理员权限以便导入伪造的票据。 #### 攻击过程 以下是黄金票据攻击的主要实现机制: - **伪造 TGT**:攻击者使用已知的 `krbtgt` 哈希值以及其他必要参数生成一个伪造的 TGT。 - **绕过验证**:由于伪造的 TGT 不需要域控制器交互即可生成,因此它可以绕开正常的 AS-REQ/AS-REP 流程[^4]。 - **请求服务票据**:凭借伪造的 TGT,攻击者可以向 Key Distribution Center (KDC) 请求任何所需的服务票据(SPT),而 KDC 无法识别这些请求的真实性并予以批准。 #### 防御措施 为了有效抵御黄金票据攻击,建议采取以下综合性的防护手段: - 定期更换 `krbtgt` 账户密码,推荐频率为每 180 天至少两次。 - 实施严格的日志审计制度,特别关注异常行为模式如超长时间有效期的 TGT 创建活动。 - 应用最新的操作系统版本及安全补丁以修补可能存在的漏洞。 ```bash # 使用 Mimikatz 工具生成黄金票据示例命令 mimikatz # kerberos::golden /domain:test.local /sid:S-1-5-21-XXXXXXXXXX-YYYYYYYYYY-ZZZZZZZZ /user:Administrator /rc4:<krbtgt-hash> /id:500 /ptt ``` 上述脚本展示了如何借助第三方工具Mimikatz完成黄金票据制作的过程,其中 `/rc4:` 参数指定的是 krbtgt 用户对应的 RC4 加密算法下的散列值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值