一、具体内容
黄金票据是一种在域环境中利用 Kerberos 协议漏洞的攻击方式。
在网络安全中复现黄金票据通常包括以下步骤:
1. 信息收集:获取目标域的相关信息,如域名、域控制器的 IP 地址等。
2. 生成黄金票据:使用特定工具或脚本生成有效的黄金票据。
3. 利用票据:将生成的黄金票据注入到目标系统中,以获取特定权限或访问受保护的资源。
黄金票据攻击利用了 Kerberos 身份验证协议中的一个漏洞,该协议自 Windows 2000 以来一直被 Microsoft 用作其默认身份验证协议。在 Kerberos 身份验证中,用户永远不会直接对他们需要使用的各种服务(例如文件服务器)进行身份验证。相反,Kerberos 密钥分发中心(KDC)充当受信任的第三方身份验证服务。具体来说,当用户进行身份验证时,KDC 会发出一个票据授予票据(TGT),其中包括一个唯一的会话密钥和一个时间戳,该时间戳指定该会话的有效时间(通常为8或10小时)。
当攻击者获取到域内 krbtgt 帐户的 SID 和 HASH,就可以随意伪造域内管理员用户,再加上域帐户 krbtgt 的密码基本不会更改,即使域管修改了密码,攻击者依然可以通过黄金票据获取域管理员权限。在域环境中,黄金票据是一种特别危险的攻击,是域控权限失陷的特征。
具体步骤如下:
1. 下载利用工具:访问[https://github.com/dirkjanm/CVE-2020-1472](https://github.com/dirkjanm/CVE-2020-1472)并下载相关利用工具。
2. 获取信息:首先,获取域控的计算机名和域控的IP地址;然后,利用脚本检测是否存在漏洞;之后,使用攻击脚本进行置空攻击。
3. 导出 hash:利用 secretsdump.py 脚本导出 hash,在此之前,需要修改 host 文件,并执行相关命令。
4. 获取权限:使用 impacket 套件测试 hash 是否可用。如果可用,则能获取域控的权限。
5. 恢复密码:使用 reinstall_original_pw 脚本进行恢复,包括获取目标的注册表、保存带有 hash 的文件、导入到本地,以及使用脚本恢复原本的域控密码。
二、实验步骤
拿到域名
拿到SID
使用mimikatz拿到krbtgt用户的哈希
删除票据
也可以使用mimikatz.exe删除票据,命令是kerberos::purge
伪造票据
拿到域控
伪造成功