0x01 介紹
0x02 **票據利用
之前,我們已經詳細說過kerberos認證的流程,這次我們就來說說如何對其進行利用,這次主要說的是**票據偽造(silver tickets)
**票據偽造利用的是kerberos認證中的第三個步驟,在第三步的時候,client會帶著ticket向server的某個服務進行請求,如果驗證通過就可以訪問server上的指定服務了,這裡ticket的格式是這樣的:
server hash(server session key + client info + end time)其實與其說這是一種利用方式,倒不如說這是乙個後門,在擁有server hash的時候,可以隨時去請求server。
根據上面的攻擊流程總結以下**票據的攻擊特點:
1.不需要與kdc進行互動
2.需要server的ntlm hash
dc 192.168.6.112
client 192.168.6.113
win7-client.zhujian.com
server 192.168.6.114
win7-server.zhujian.com
輸入\\win7-server.zhujian.com\c$進行驗證
發現需要輸入密碼才能進行連線
然後我們使用mimikatz去server中匯出hash
可以發現已經獲取到了hash等各種資訊
然後回到client中使用mimikatz來偽造票據
命令如下
mimikatz "kerberos::golden /domain:《網域名稱》 /sid:《域 sid> /target:《目標伺服器主機名》 /service:《服務型別》 /rc4:/user:《使用者名稱》 /ptt" exitsid不需要填最後的-500
注:這裡的目標伺服器主機名不能用這裡hostname的內容,而是要寫全稱
服務型別可以從以下內容中來進行選擇,因為我們沒有tgt去不斷申請ticket,所以只能針對某一些服務來進行偽造
其中的使用者名稱可以隨便寫,這個是不受影響的,因為在資料傳過去之前server是不知道使用者名稱的,對於傳輸流程還不太熟悉的,可以移步《windows認證 | 域認證》
所以最後得到的資訊是這樣的
然後再一次進行測試
已經可以成功訪問了
如果對windows認證有興趣的可以看一下下面的幾篇文章來學習一下《windows認證 | windows本地認證》、《windows認證 | 網路認證》、《windows認證 | 域認證》、《spn掃瞄》、《kerberoasting攻擊》
掃碼關注即可
偽造白銀票據實驗
實驗工具 實驗環境 網域名稱稱 域的sid值 域的服務賬號的密碼hash 偽造的使用者名稱,可以是任意使用者名稱,一般是偽造administrator 需要訪問的服務 一 獲取service賬戶的hash值 在域控制器上操作 通過 mimikatz 輸入命令來獲取network server下服務賬...
域滲透之金票據學習
金票據 golden ticket 偽造票據授予票據 tgt 也被稱為認證票據。krbtgt賬戶 每個域控制器都有乙個 krbtgt 的使用者賬戶,是kdc的服務賬戶,用來建立票據授予服務 tgs 加密的金鑰。與其說是一種攻擊方式,不如說是一種後門,當域控許可權掉後,再重新獲取許可權。環境域控2k3...
kerberos 票據 域滲透之黃金票據的實際利用
先介紹下kerberos協議 kerberos是一種由mit 麻省理工大學 提出的一種網路身份驗證協議。它旨在通過使用金鑰加密技術為客戶端 伺服器應用程式提供強身份驗證。在kerberos協議中主要是有三個角色的存在 1 訪問服務的client 使用者的機器客戶端 2 提供服務的server 服務端...