前言:
上一篇文件里面,已经很详细的和大家介绍了kerberos协议认证的方式了,上次主要说的是黄金票据(伪造TGT),今天主要来和大家分析下白银票据(伪造TGS票据),稍后为大家介绍他们之间的区别。
实验步骤:
主域控:windows server 2008 IP地址:192.168.107.146
域内机器(Client):windows server 2008 IP地址:192.168.107.164
第一步:这里我拿文件共享来做个例子,首先我们登录Client端(这是一个域内用户,无域管理权限的)
访问主域控文件共享,可以看到是无法访问的,说明我的权限是不够的。
第二步:用域管理账号登录主域控,使用工具mimikatz.exe执行命令抓取hash(在域控中执行):
第三步:在Client端查看SID号(在Cient端执行),复制并保存。
第四步:将在域控上抓取的hash也就是NTML值的复制到Client端,打开mimikatz.exe工具(在Cient端执行),执行以下命令:
kerberos::golden:使用minikatz中票据的功能
/domain:指定域名
/sid:Client端查询的sid号,在域控中查询也可以,都是一样的
/target:主域控中的计算机全名
/rc4:在域控中抓取的hash(NTLM)
/service:需要伪造的服务(cifs只是其中的一种服务,可伪造的服务很多)
/user:需要伪造的用户名(可自定义)
/ppt:伪造了以后直接写入到内存中
kerberos::golden /domain:hydra.com /sid:S-1-5-21-4188752632-3746001697-3968431413 /target:dc.hydra.com /rc4:6f949c52336e143ff8a2f5957416a73a /service:cifs /user:ceshi /ptt
执行了后如果提示successfully表示伪造的白银票据成功写入到内存中,可以通过kerberos::list来查看。
第五步:此时,打开Client的cmd来执行共享文件查看,可以看到是可以成功查看域控c盘下的文件,并且此时权限也是最高的权限。
第六步:尝试使用psexec.exe与域控建立cmd交互式shell,成功获得域控cmd权限,并且是最高权限。
执行whoami,发现用户是我们通过白银票据伪造的不存在的用户。
(总结)黄金票据和白银票据的区别:
在执行白银票据的时候,其参数其实是比黄金票要多的,这里的 /target:是需要指定我们获取权限的机器(也可以指定域内其他机器),我这里指定的是域控,那么对应的/rc4:就要对应的抓取域控里面的服务的hash,/server:是需要获取的服务,下面是常见的一些服务。
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。
而黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。
具体的理解,大家可以仔细的看下我另一篇关于"黄金票据利用的文章,里面有对于kerberos协议的说明"。