内网渗透之黄金白银票据(Kerberos认证)简介

最新推荐文章于 2025-07-02 16:14:49 发布
原创 最新推荐文章于 2025-07-02 16:14:49 发布 · 1.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#哈希算法 #渗透测试

Kerberos认证包括AS-REQ/AS-REP、TGS-REQ/TGS-REP和AP-REQ/AP-REP三个阶段,确保客户端与服务器间的安全通信。在AS-REP阶段,AS向AD查询用户信息并生成TGT,TGT是黄金票据,包含加密的随机密钥和客户端信息。在TGS-REP阶段,TGS验证客户端信息并生成ST,即白银票据,用于后续与服务器的交互。整个过程中,时间戳用于防止重放攻击,随机密钥确保数据安全。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

图解:

Kerberos认证一共分为三个阶段:

Kerberos认证一共分为三个阶段
    AS-REQ---AS-REP阶段:(Client和AS的认证)
        1.首先Client(客户端)用自己的哈希值(NTLM-hash)对(时间戳,客,服)等数据加密后,发送给AS(身份验证服务)向AS请求TGT票据。 -----AS-REQ----
        2.当AS收到Client发来的数据后,AS会向AD(域控)发起请求,询问是否有该client用户,如果有的话就取出client的 NTLM-hash,然后生成一个Session-key as(随机密钥)临时密钥Session-key 并使用client NTLM-hash加密随机密钥,作为一部分。
        3.TGT----使用KDC(密钥分发中心)一个特定账户的NTML-hash对(随机密钥,时间戳,客户端信息)加密,然后将这两部分发给Client ----AS-REP---
    
    TGS-REQ---TGS-REP阶段:(client和KDC通信)
        (---TGS-REQ---)
        1.client收到AS发来的AS-REP后,先用自己的NTLM-HASH解密得到随机密钥,然后使用随机密钥对(客户信息,时间戳,服务器请求)加密作为一部分,加上TGT,一并发送给KDC(密钥分发中心)中的TGS(票据授予服务)。
        
        2.TGS收到请求后,使用特殊用户的NTLM-hash解密TGT,得到(随机密钥,时间戳,客户端信息)同时,使用TGT解密出的随机密钥去解密第一部分的内容,得到(客户端信息,时间戳)。对比这解密得到的内容以验证是否通过。通过后新生成一个随机密钥2,并向client回复TGS-REP的两部分内容:
        一部分是用(随机密钥1)加密的新生成的(随机密钥2)
        另一部分是ST,即服务器的NTML-hash加密的数据(随机密钥2,时间戳,客户端信息)
        
    AP-REQ---AP-REP阶段:
        1.client收到TGS-REP后,先用自己保存的(随机密钥)解密出(随机密钥2).再使用随机密钥2加密(客户端信息,时间戳)作为一部分,另一部分是ST,一并发送给Server(服务器)。
        ----------AP-REQ---------
        2.服务器收到AP-REQ后,用自己的NTML-hash解密ST,得到(随机密钥2)再用随机密钥2解密第一部分得到(客户端信息,时间戳),然后与ST的(客户端信息,时间戳)对比。
        时间戳一般为8个小时。验证通过后,回复AP-REP,最终建立通信。

什么是白银票据?

        ST(白银票据)即为服务器NTML-hash加密的数据(随机密钥,时间戳,客户端信息)等信息。

什么是黄金票据?

         TGT(黄金票据)----使用KDC(密钥分发中心)一个特定账户的NTML-hash加密的(随机密钥,时间戳,客户端信息)等信息。

红队内网攻防渗透内网渗透内网对抗:权限维持篇&内网AD域&Kerberos点&黄金票据&白银票据&钻石票据&蓝宝石票据
HACKONE的博客
06-25 716
蓝宝石票据与钻石票据类似,票据不是伪造的,而是通过请求后获得的合法票据。在蓝宝石票据中,高权限用户PAC是通过S4U2Self+U2U获得的,然后该PAC会替换原来的PAC,由于该票据是完全合法元素组合起来的,所以是最难检测的票据白银票据是伪造的 Kerberos Ticket Grant Service (TGS) 票证,银票仅允许攻击者伪造特定服务的票证授予服务 (TGS) 票据白银票据所需的利用条件和黄金票据是相同的,只是秘钥换成了对应服务的机器账户 Hash(尾部带$的均为机器账户)
内网渗透--CS伪造黄金票据白银票据
Armandhe的博客
06-24 4049
性感作者,在线翻车
内网学习笔记】28、黄金票据
TeamsSix 的 CSDN 空间
09-27 597
0、前言 RT 在利用黄金票据(Golden Ticket)进行 PTP 票据传递时,需要先知道以下信息: 伪造的域管理员用户名 完整的域名 域 SID krbtgt 的 NTLM Hash 或 AES-256 值 其中 krbtgt 用户是域自带的用户,被 KDC 密钥分发中心服务所使用,属于 Domain Admins 组。 在域环境中,每个用户账号的票据都是由 krbtgt 用户所生成的,因此如果知道了 krbtgt 用户的 NTLM Hash 或者 AES-256 值,就可以伪造域内任意用户的身
内网渗透——黄金票据白银票据
来日可期的博客
10-11 5184
黄金票据(Golden Ticket):黄金票据指的是攻击者通过获取目标环境中域控制器(Domain Controller)上的krbtgt帐户的散列值,然后使用散列值生成伪造的票据。这种伪造的票据具有极高的权限,并且不受密码更改的影响。拥有黄金票据相当于拥有域内的最高权限,攻击者可以访问和控制所有域内资源。 白银票据(Silver Ticket):白银票据是攻击者通过获取目标环境中某个服务帐户(Service Account)的散列值,并使用散列值生成伪造的票据。这种伪造的票据允许攻击者模拟该服务账户的
Kerberos 认证协议解析
最新发布
showyoui的博客
07-02 1253
Kerberos是一种基于对称密钥加密的网络认证协议,由MIT设计,用于C/S架构的身份验证。其核心包括KDC(密钥分发中心)、Principal(认证实体)和Ticket(票据)三部分。认证流程分为三阶段:获取TGT、申请服务票据、访问目标服务。Kerberos采用密钥隔离、时间戳验证等机制确保安全性,支持单点登录和双向认证,但对时钟同步要求严格且存在单点故障风险。虽然部署复杂,但在Kafka、Hadoop等分布式系统中仍是主流认证方案。通过合理配置krb5.conf和使用kinit等命令可有效管理Ker
深入剖析Kerberos认证中的黄金票据白银票据攻击
vortex5的博客
12-22 1747
黄金票据白银票据Kerberos认证体系中常见的被攻击者滥用的两种手段。黄金票据更侧重于全域控制,而白银票据则专注于特定服务的攻击。强化域控和服务账户的安全,防止哈希值泄露。定期更新密码、最小化权限,并使用强认证机制。通过持续监控、日志分析等手段,识别和防止异常行为。通过将Kerberos认证的流程与私人电影院的购票过程做类比,我们可以更加直观地理解黄金票据白银票据的攻击手段及其威胁。希望大家能通过这篇文章,对Kerberos认证体系中的潜在风险有更深入的认识。
内网渗透-kerberos认证黄金白银票据
m0_64481831的博客
11-06 1320
假设我们已拿到的域内所有账户的hash,包括krbtgt账户,此时你失去了域管理员权限但拥有一个普通域用户权限,碰巧管理员在域内加固时忘记重置krbtgt密码,基于此条件,我们还能利用该票据重新获得域管理员权限,利用krbtgt的hash值可以伪造生成任意的TGT,能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于kerberos认证的任何服务。4. 如果有权限,则给Client访问Server的权限Ticket,也叫ST,这里的ST是用Server自身的Server NTLM进行加密的。
Active Directory域渗透白银票证后门
weixin_33827590的博客
09-19 310
本文讲的是Active Directory域渗透白银票证后门,本文的内容描述了一种方法,通过该方法,攻击者可以在拿到域管理级别的权限约5分钟后,就可持久的对Active Directory的管理进行访问。 这篇文章将探讨攻击者如何利用计算机帐户凭据来持久的访问和控制企业内网,以及企业如何缓解这类潜在的安全问题。 计算机帐号 加入Active Dire...
Kerberos认证以及黄金票据白银票据的简单介绍
Reset
08-21 1268
Kerberos是一种网络身份认证的协议,协议设计目的是通过使用秘钥加密技术为客户端/服务器应用程序提供强身份验证,保护服务器防止错误的用户使用,同时保护它的用户使用正确的服务器,即支持双向验证。Kerberos协议的整个认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意的读取、修改和插入数据。简而言之,Kerberos作为一种可信任的第三方认证服务,通过传统的密码技术(共享密钥)执行认证服务。
内网渗透——WINDOWS认证机制之KERBEROS
我们为什么能在这里遇到?
11-12 1459
参考:ares-x 域渗透学习(二) KERBEROS协议
[内网渗透]Kerberos 认证
weixin_47224111的博客
12-30 2982
Kerberos 认证 简介 Kerberos诞生与上个世纪九十年代,被广泛用于各大操作系统和Hadoop生态系统中。 kerberos的作用 kertberos提供了一种单点登录(SSO)的方法,在内网里有很多服务器,提供一个第三方可信的认证服务器,供其他服务器使用,这样任何客户端就只需要一个密码就能登录每个服务器。 Kerberos的角色(简化) 认证服务器(AS),客户端(Client),普通服务器(Server),客户端和服务器在AS的帮助下完成相互认证,在Kerberos系统里,客户端和服务器都有
渗透测试笔记】之【内网渗透——彻底理解Kerberos认证黄金白银票据
AA8j的博客
08-07 1212
Kerberos Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。 该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。 在以上情况下,Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。 参与角色 Client Server KDC(Key Distribution Center): A
内网渗透-(黄金票据白银票据)详解()
duoba_an的博客
03-31 3220
Kerberos 认证中,最主要的问题是如何证明「你是你」的问题,如当一个 Client 去访问 Server 服务器上的某服务时,Server 如何判断 Client 是否有权限来访问自己主机上的服务,同时保证在这个过程中的通讯内容即使被拦截或篡改也不影响通讯的安全性,这正是 Kerberos 解决的问题。获取Client的sid,以及所在的组,再根据该服务的ACL,判断Client是否有访问服务的权限,到此完成整个认证流程(大多数服务并没有验证PAC这一步)。这个是启用PAC支持的扩展。
内网渗透--Golden Ticket(黄金票据)制作&利用
qq_62169455的博客
01-17 2717
伪造TGT,不需要和KDC进行校验,金票可以直接在本地生成,在域内机器和非域内机器都可以使用。
白银票据~
Y22Lee的博客
06-05 673
在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现的(IPC)第一步:检查电脑是否加入域并查看权限,加入域可以直接使用白银票据。2、如果通过枚举出来一个域中的管理员用户,可以使用如下的命令。在工作组中的机器使用白银票据的时候需要注意如下的问题。白银票据可以伪造的服务非常多,简单列举几个常用的。第三步:伪造LDAP服务的白银票据并注入到内存中。第三步:获取制作白银票据的条件,伪造CIFS服务。第四步:通过dcsync查询域控上的hash值。第六步:使用之前的上线办法上线CS。
Kerberos白银票据详解
weixin_30532987的博客
12-26 4243
0x01白银票据(Silver Tickets)定义 白银票据(Silver Tickets)是伪造Kerberos票证授予服务(TGS)的票也称为服务票据。如下图所示,与域控制器没有AS-REQ 和 AS-REP(步骤1和2),也没有TGS-REQ / TGS-REP(步骤3和4)通信。由于银票是伪造的TGS,所以没有与域控制器通信。 0x02白银票据的特点 1.白银票据...
内网横向——域渗透黄金票据复现
ytdd66的博客
04-03 2132
Kerberos是一种由MIT(麻省理工大学)提出的一种网络身份验证协议。它旨在通过使用密钥加密技术为客户端/服务器应用程序提供强身份验证。其中KDC服务默认会安装在一个域的域控中,而Client和Server为域内的用户或者是服务,如HTTP服务,SQL服务。在Kerberos中Client是否有权限访问Server端的服务由KDC发放的票据来决定。
「Active Directory Sec」白银票据黄金票据
dr0op's blog
07-12 1068
白银票据: 即伪造的TGS。当获取需要访问的目标服务器NTLM HASH后,就可以利用Mimikatz伪造TGS,直接去访问目标服务器。此过程不需要KDC的参与。但缺点是只能访问一个服务。黄金票据: 即伪造TGT。当攻击者拥有普通域账户,krbtgt ntlm hash ,域SID时,就可以伪造TGT。拥有黄金票据就拥有了域内所有的访问控制权限。 通过Kerberos的通信过程就可以看出,当攻击者获取krbtgt的HASH值时,就可以利用这个HASH去伪造TGT,票据授予票据,在以后每一次的通信过程中,Cl
白银票据/黄金票据构造分析
灰太的表格的博客
10-29 1026
白银票据/黄金票据构造分析
渗透 白银票据配置 伪造
03-19
### 域渗透中的白银票据黄金票据 #### 白银票据 (Silver Ticket) 的配置与伪造方法 白银票据是一种针对特定服务的伪造 Kerberos 票据。它允许攻击者冒充某个用户身份来访问指定的服务,而无需获得整个域的控制权。 以下是伪造白银票据的过程: 1. **收集目标信息** 需要获取目标域的信息,包括域名 (`test.lab`) 和 SID (`S-1-5-21-...`)[^3]。还需要知道目标服务名称(如 `LDAP`)、目标主机名以及用于加密的目标账户哈希值(通常是 NTLM 或 RC4 密钥)。 2. **生成白银票据** 使用 Mimikatz 工具生成伪造的 LDAP 服务票据,并将其保存到文件中: ```bash mimikatz "kerberos::golden /domain:test.lab /sid:S-1-5-21-2196907948-52438630-2517523304 /target:DC.test.lab /service:ldap /rc4:065c43c4ca3bfba69038978836565ffe /user:administrator /ticket:silver.kirbi" ``` 3. **注入票据** 将生成的白银票据注入到当前会话的内存中以便使用: ```bash mimikatz "kerberos::ptt silver.kirbi" ``` 通过上述操作,攻击者可以伪装成管理员身份访问目标服务器上的 LDAP 服务[^2]。 --- #### 黄金票据 (Golden Ticket) 的配置与伪造方法 相比白银票据黄金票据提供了更广泛的权限——它可以绕过 TGT 获取阶段直接创建有效的 TGT 票据,从而实现对整个域资源的无限制访问。 其主要步骤如下: 1. **提取 krbtgt 账户密码散列** 这一步通常依赖于已有的高权限凭证或者通过其他漏洞完成。例如,在拥有 Domain Admin 权限的情况下可以从 Active Directory 数据库导出 krbtgt 散列值。 2. **生成黄金票据** 利用 Mimikatz 创建自定义的有效期无限长且不受时间戳约束的 TGT: ```bash mimikatz "kerberos::golden /user:Administrator /domain:de1ay.com /sid:S-1-5-21-2756371121-2868759905-3853650604 /krbtgt:82dfc71b72a11ef37d663047bc2088fb /id:500 /ptt" ``` 此命令将自动加载新生成的黄金票据至当前进程环境变量中[^4]。 --- #### Kerberos 攻击技巧对比分析 | 特性 | 黄金票据 | 白银票据 | |--------------------|-----------------------------------|------------------------------| | 影响范围 | 控制全域能力 | 局部服务能力 | | 所需条件 | Krbtgt hash | Service account credentials | | 复杂度 | 较高 | 中等 | | 检测难度 | 更难 | 易被发现 | 尽管两者都基于相同的原理即滥用Kerberos协议机制,但由于作用层面不同所以在实际应用中有各自适用场景. ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值