前言:
上一篇文件裏面,已經很詳細的和大家介紹了kerberos協議認證的方式了,上次主要說的是黃金票據(僞造TGT),今天主要來和大家分析下白銀票據(僞造TGS票據),稍後爲大家介紹他們之間的區別。
實驗步驟:
主域控:windows server 2008 IP地址:192.168.107.146
域內機器(Client):windows server 2008 IP地址:192.168.107.164
第一步:這裏我拿文件共享來做個例子,首先我們登錄Client端(這是一個域內用戶,無域管理權限的)
訪問主域控文件共享,可以看到是無法訪問的,說明我的權限是不夠的。
第二步:用域管理賬號登錄主域控,使用工具mimikatz.exe執行命令抓取hash(在域控中執行):
第三步:在Client端查看SID號(在Cient端執行),複製並保存。
第四步:將在域控上抓取的hash也就是NTML值的複製到Client端,打開mimikatz.exe工具(在Cient端執行),執行以下命令:
kerberos::golden:使用minikatz中票據的功能
/domain:指定域名
/sid:Client端查詢的sid號,在域控中查詢也可以,都是一樣的
/target:主域控中的計算機全名
/rc4:在域控中抓取的hash(NTLM)
/service:需要僞造的服務(cifs只是其中的一種服務,可僞造的服務很多)
/user:需要僞造的用戶名(可自定義)
/ppt:僞造了以後直接寫入到內存中
kerberos::golden /domain:hydra.com /sid:S-1-5-21-4188752632-3746001697-3968431413 /target:dc.hydra.com /rc4:6f949c52336e143ff8a2f5957416a73a /service:cifs /user:ceshi /ptt
執行了後如果提示successfully表示僞造的白銀票據成功寫入到內存中,可以通過kerberos::list來查看。
第五步:此時,打開Client的cmd來執行共享文件查看,可以看到是可以成功查看域控c盤下的文件,並且此時權限也是最高的權限。
第六步:嘗試使用psexec.exe與域控建立cmd交互式shell,成功獲得域控cmd權限,並且是最高權限。
執行whoami,發現用戶是我們通過白銀票據僞造的不存在的用戶。
(總結)黃金票據和白銀票據的區別:
在執行白銀票據的時候,其參數其實是比黃金票要多的,這裏的 /target:是需要指定我們獲取權限的機器(也可以指定域內其他機器),我這裏指定的是域控,那麼對應的/rc4:就要對應的抓取域控裏面的服務的hash,/server:是需要獲取的服務,下面是常見的一些服務。
白銀票據:實際就是在抓取到了域控服務hash的情況下,在client端以一個普通域用戶的身份生成TGS票據,並且是針對於某個機器上的某個服務的,生成的白銀票據,只能訪問指定的target機器中指定的服務。
而黃金票據:是直接抓取域控中ktbtgt賬號的hash,來在client端生成一個TGT票據,那麼該票據是針對所有機器的所有服務。
具體的理解,大家可以仔細的看下我另一篇關於"黃金票據利用的文章,裏面有對於kerberos協議的說明"。