白银票据

Posted 2020-12-12 liqik

0x00:白银票据简介

参考链接：https://blog.csdn.net/cj_Allen/article/details/104310265

https://msd.misuland.com/pd/4146263502304054192?page=1

 

白银票据与ms14068和黄金票据的原理不太一样，ms14068和黄金票据都是伪造tgt（门票发放票），而白银票据则是伪造st（门票），这样的好处是门票不会经过kdc，从而更加隐蔽，但是伪造的门票只对部分服务起作用,如cifs（文件共享服务），mssql，winrm（windows远程管理），dns等等

白银票据的要求

1.域名 hacker.com

2.域sid S-1-5-21-1854149318-4101476522-1845767379

3.目标服务器FQDN dc.hacker.com

4.可利用的服务 cifs

5.服务账号的NTML HASH 52c74fc45feba971209be6f2bc068814

6.需要伪造的用户名 test

kerberos::golden：使用minikatz中票据的功能
/domain：指定域名
/sid：Client端查询的sid号，在域控中查询也可以，都是一样的
/target：主域控中的计算机全名
/rc4：在域控中抓取的hash(NTLM)
/service：需要伪造的服务（cifs只是其中的一种服务，可伪造的服务很多）
/user：需要伪造的用户名（可自定义）
/ppt：伪造了以后直接写入到内存中

一些可用的服务

 

 

0x01：实验测试

（1）普通域成员 win7（无管理权限），无法访问共享文件夹

 

 

 （2）使用域管理员登陆（该域管理员 还是之前用 MS14-068漏洞创建的一个域管理用户 ms14-068）可以访问主域控的C盘文件夹

 

 

 

 

 

 使用工具mimikatz.exe执行命令抓取hash（用域管理员执行）

PRIVILEGE::Debug – 获得 Debug 权限（很多 Mimikatz 命令需要 Debug 权限或本地 SYSTEM 权限）。

SEKURLSA::LogonPasswords – 列出所有可用的提供者的凭据。这个命令通常会显示最近登录过的用户和最近登录过的计算机的凭证。

> mimikatz.exe privilege::debug sekurlsa::logonpasswords exit>log.txt

 

 

 

 

（3）登陆普通域成员账户win7

Client端查询的sid号，在域控中查询也可以，都是一样的

 

 生成白银票据，生成票据之前，还是最好把本地的票据清空吧（kerberos::purge）

kerberos::golden：使用minikatz中票据的功能
/domain：指定域名
/sid：Client端查询的sid号，在域控中查询也可以，都是一样的，最后一个"-数字"不用加上去 
/target：主域控中的计算机全名
/rc4：在域控中抓取的hash(NTLM)
/service：需要伪造的服务（cifs只是其中的一种服务，可伪造的服务很多）
/user：需要伪造的用户名（可自定义）
/ppt：伪造了以后直接写入到内存中

 

 

但是还是无法访问，访问被拒绝

并且 执行dir 访问语句后，mimikatz kerberos::list 发现 票据列表为空的

难道必须是域控的HASH?

我这个 ms14-068也是域管理员用户啊

还有我发现 win7用户和ms14-068的 NTLM是相同的？？？

 

未完。。。

1