内网安全-黄金票据和白银票据

前言

前置知识是需要熟悉Kerberos协议的认证流程，可以看前一篇文章

黄金票据

原理

在熟悉了Kerberos协议的认证流程后，我们就可以知道由客户端发送给TGS服务的TGT票据的重要性

黄金票据就是通过伪造这个TGT票据，从而达到可以访问域内任意机器的任意服务

应用场景

常用于权限维持

当我们获得域控的控制权限后，有可能获取域内所有用户的hash，和krbtgt的hash。这时，由于一些原因导致我们失去对目标的控制权，但是我们还留有一个普通用户的权限，并且krbtgt的密码没有更改，此时我们可以利用krbtgt用户的ntlm hash制作黄金票据伪造tgt，重新获取域控的管理权限。

这个过程主要用到的工具是Mimikatz

应用条件

1、域名称

2、域的SID值

3、域的KRBTGT账号的HASH

4、伪造任意用户名

（获取域的SID和KRBTGT账号的NTLM HASH的前提是需要已经拿到了域的权限）

防御

• 限制域管理员登录到除域控制器和少数管理服务器以外的任何其他计算机（不要让其他管理员登录到这些服务器）将所有其他权限委派给自定义管理员组。这大大降低了攻击者访问域控制器的Active Directory的ntds.dit。如果攻击者无法访问AD数据库（ntds.dit文件），则无法获取到KRBTGT帐户密码。
• 禁用KRBTGT帐户，并保存当前的密码以及以前的密码。KRBTGT密码哈希用于在Kerberos票据上签署PAC并对TGT（身份验证票据）进行加密。如果使用不同的密钥（密码）对证书进行签名和加密，则DC（KDC）通过检查KRBTGT以前的密码来验证。
• 建议定期更改KRBTGT密码（毕竟这是一个管理员帐户）。更改一次，然后让AD备份，并在12到24小时后再次更改它。这个过程应该对系统环境没有影响。这个过程应该是确保KRBTGT密码每年至少更改一次的标准方法
• **一旦攻击者获得了KRBTGT帐号密码哈希的访问权限，就可以随意创建黄金票据。**通过快速更改KRBTGT密码两次，使任何现有的黄金票据（以及所有活动的Kerberos票据）失效。这将使所有Kerberos票据无效，并消除攻击者使用其KRBTGT创建有效金票的能力

白银票据

原理

Kerberos认证流程中客户端最后通过由TGS分发的ST向服务端发起请求，服务端通过自己的ServerHASH值解密成功，并认证通过后客户端就可以访问该服务端的特定服务

白银票据就是伪造ST

应用条件

1、域名

2、域SID

3、目标服务器名

4、可利用的服务

5、服务账号的NTML HASH

6、需要伪造的用户名

黄金票据和白银票据的区别

1.访问权限不同

• Golden Ticket: 伪造TGT,可以获取域内任意用户的任意服务
• Silver Ticket: 伪造ST,只能访问特定用户的特定服务

2.加密方式不同

• Golden Ticket 由Kerberos的Hash—> krbtgt的HASH加密
• Silver Ticket 由服务器端密码的Hash值—> Server HASH 加密

3.认证流程不同

• Golden Ticket 的利用过程需要访问域控(KDC)
• Silver Ticket 可以直接跳过 KDC 直接访问对应的服务器