作者:pbfochk
介绍:内网渗透中域渗透信息收集相关内容及白银票据、黄金票据的基本使用方法。
0x00 什么是域
将网络中多台计算机逻辑上组织到一起,进行集中管理,这种区别于工作组的逻辑环境叫做域,域是组织与存储资源的核心管理单元,在域中,至少有一台域控制器,域控制器中保存着整个域的用户帐号和安全数据库。
0x01 域环境信息收集
域控查看net group "domain admins" /domain
查询所有域成员计算机列表net group "domain computers" /domain
获取域密码信息(锁定策略等)net accounts /domain
向域控制器查询用户net user /domain
查询当前登录域net config workstation
查询域控IP(一般DNS服务器即为域控服务器)ipconfig /all
0x02 域内横向移动
2.1 Golden Ticket(黄金票据)
当域内有可疑行为时,管理员通常会修改域控管理员密码来避免攻击者进一步攻击,但通常会忘记修改krbtgt的密码,导致攻击者可以持久维他的权。域环境中,所有的票据都是由krbtgt生成,获取了krbtgt的NTLM hash或AES-256就可以伪造域内任意用户身份访问其他服务。
1.前提条件:需要伪造的域管理员名称、完整域名称、域SID、krbtgt的hash NTLM值或AES-256值。
2.利用方法:
(1)抓取krbtgt hash值。
(2)在域成员主机上清除票据缓存。
(3)生成黄金票据并注入内存。
(4)klist查看票据。
(5)测试连接域控或域内任意主机cmd。
(6)再次查看缓存票据。
可以看到黄金票据是每次服务请求都会伪造一次票据。
ps:除非在Enterprise Admins中,否则黄金票据不能跨域信任使用,标准的黄金票据仅限于其所在的子域。
2.2 Silver Ticket(白银票据)
白银票据以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务,生成的白银票据只能访问指定的target机器中指定的服务。白银票据在生成过程中不需要使用KDC,所以不用经过域控,留下的痕迹很少。
1.前提条件:域名城、服务账号的NTLM hash、服务SID需要伪造的域名称。
2.利用方法:
(1)抓取域服务账号NTLM hash与SID号。
(2)在原来不能访问域内其他主机的域成员主机上利用得到的信息生成白银票据。
(3)查看票据。
(4)测试cifs,访问成功。
0x03 总结
黄金票据使用的是krbtgt的hash值,利用伪造高权限的TGT向KDC要求颁发拥有任意服务访问权限的票据,从而获取域控权限,且生成伪造TGT的20分钟内,TGS不会对其进行真伪校验。白银票据则是根据服务来伪造TGS,只能获取对应服务的权限。
来源:freebuf.com 2021-06-25 15:02:01 by: 宸极实验室Sec
请登录后发表评论
注册