域权限维持及后渗透密码收集
实验目的与要求
实验目的
(1)理解域权限维持,能够进行域权限维持;
(2)理解后渗透密码收集,能够进行后渗透密码收集。
实验要求
(1)能够描述黄金票据传递攻击的原理,并复现黄金票据传递攻击;
(2)能够描述白银票据传递攻击的原理,并复现白银票据传递攻击;
(3)能够进行后渗透密码收集。
实验原理与内容
实验原理
(1)简述黄金票据传递攻击的思路
黄金票据传递攻击(Golden Ticket Attack)是一种高级持久性威胁(APT)攻击,利用微软的Kerberos身份验证协议的漏洞,实现对目标网络的持久控制。以下是黄金票据传递攻击的基本思路:
获取域管理员权限:
攻击者需要首先在目标网络中获得域管理员权限。这通常通过网络钓鱼、社会工程学攻击或利用已知漏洞等方法实现。
获取KRBTGT账户的哈希值:
一旦获得域管理员权限,攻击者会从域控制器中提取KRBTGT账户的哈希值。KRBTGT账户是Kerberos票据授予票据(TGT)的加密和签名关键账户。
生成伪造的TGT票据:
使用提取的KRBTGT账户的哈希值,攻击者可以生成伪造的TGT。这张伪造的票据称为“黄金票据”,可以用来冒充任何域用户,包括域管理员。
访问网络资源:
伪造的TGT票据使攻击者能够获得目标网络中的任何资源的访问权限。由于票据是使用合法的KRBTGT账户的哈希值生成的,网络中的所有系统都将其视为有效票据。
长期控制:
黄金票据可以设置长达10年的有效期,意味着攻击者可以在很长一段时间内访问网络资源而不被检测到。
隐蔽性和持久性:
黄金票据攻击的隐蔽性极高,因为它利用的是合法的Kerberos机制,传统的安
全工具和日志监控很难检测到这种攻击。
防御措施
为了防御黄金票据传递攻击,企业可以采取以下措施:
定期更改KRBTGT密码:
定期更改KRBTGT账户密码会使之前提取的哈希值失效,限制攻击者使用伪造票据的时间窗口。
监控域管理员活动:
对域管理员账户的使用和活动进行严格监控,及时发现和响应异常行为。
实施强身份验证和访问控制:
采用多因素认证(MFA)和严格的访问控制策略,减少攻击者初始获取域管理员权限的机会。
定期审计和日志分析:
通过定期审计和分析日志,识别异常的Kerberos票据活动,及时发现潜在的攻击迹象。通过了解和实施这些防御措施,可以有效地降低黄金票据传递攻击对网络安全带来的威胁。
实验内容
- 复现黄金票据传递攻击,并描述如何防御。
- 复现白银票据传递攻击,并描述如何防御。
- 描述黄金票据和白银票据的联系与区别。
- 用实例实现后渗透密码收集。
实验设备与软件环境
(1) 笔记本电脑
(2) VMware Workstation 17
实验过程与结果
复现黄金票据传递攻击,并描述如何防御。
在域服务器上执行命令 net user 可以看到存在 krbtgt 用户
在域服务器获取Sid和哈希值
win7 mimikatz中生成黄金票据并导入
查看票据
远程连接
防御措施
为了防御黄金票据传递攻击,可以采取以下措施:
严格控制域控制器的访问权限:确保只有经过授权的管理员才能访问域控制器,并监控所有访问日志。
定期更换KRBTGT账户密码:更换KRBTGT账户的密码会使现有的黄金票据失效。建议每6个月更换一次,或在怀疑遭受攻击时立即更换。
实施细粒度的访问控制:采用基于角色的访问控制(RBAC)来限制账户权限,确保账户只拥有完成其工作所需的最低权限。
启用并配置Active Directory的审核和警报:通过开启审核日志,可以及时发现和响应可疑的活动。例如,监控对KRBTGT账户的访问和操作日志。
使用强密码策略和多因素认证(MFA):强密码和MFA可以增加攻击者获取有效凭证的难度,从而减小攻击面。
网络分段和隔离:将重要的系统和服务进行网络分段,减少横向移动的风险。
定期进行安全评估和渗透测试:通过定期评估和测试来发现和修复潜在的安全漏洞。
复现白银票据传递攻击,并描述如何防御。
首先获取制作白银票据需要的信息
server账号的hash
获取到所有要用的信息后在win7上开始制作白银票据
清除系统中所有缓存的票据
使用Mimikatz制作白银票据并注入到内存中
制作成功,CMD使用klist查看注入的票据
防御措施
使用复杂的服务账号密码:
确保服务账号使用强复杂度的密码,定期更换密码,减少密码被破解或泄露的风险。
最小化服务账号权限:
服务账号应仅授予最低必要的权限,减少其被滥用的风险。
实施多因素身份验证(MFA):
为服务账号启用多因素身份验证,增加额外的安全层。
启用和监控日志记录:
启用Kerberos服务票据的审计和监控,检测异常的票据使用和生成行为。
及时修补和更新系统:
保持操作系统和应用程序的最新补丁状态,防止已知漏洞被利用。
网络分段和隔离:
通过网络分段和隔离,限制攻击者横向移动的能力,保护关键资源。
使用高级威胁防护工具:
部署高级威胁防护工具,能够检测和响应可疑活动,如使用伪造票据的行为。
描述黄金票据和白银票据的联系与区别。
黄金票据(Golden Ticket)和白银票据(Silver Ticket)都是针对微软Kerberos身份验证协议的攻击手段,都是由Mimikatz等工具实现的。它们之间的主要联系和区别如下:
联系
攻击目标相同:
都针对微软的Kerberos身份验证协议,利用票据(Ticket)机制的漏洞进行攻击。
需要高权限账户:
实施这两种攻击都需要事先获得域管理员权限或能够访问关键账户的权限。
使用Mimikatz:
Mimikatz工具可以生成和利用这两种票据进行攻击。
区别
1. 票据类型
黄金票据:
伪造的是Ticket Granting Ticket (TGT)。
TGT允许攻击者获取服务票据(Service Ticket),因此可以访问域内任何服务。
白银票据:
伪造的是服务票据(Service Ticket,也称为Ticket Granting Service,TGS)。
TGS仅允许访问特定的服务,不具有访问域内所有服务的权限。
2. 获取的凭据不同
黄金票据:
需要KRBTGT账户的哈希值,这是Kerberos服务用来加密和签名TGT的关键账户。
白银票据:
需要目标服务账户的哈希值(例如HTTP服务的哈希值),用于加密和签名TGS。
3. 权限范围
黄金票据:
权限范围更广,可以冒充任何用户,包括域管理员,访问任何服务。
白银票据:
权限范围较小,只能访问特定服务,通常是攻击者需要的某个特定服务。
4. 检测和防御
黄金票据:
更难检测,因为它模拟了合法的Kerberos身份验证流程,且可设置长时间有效。防御措施包括定期更改KRBTGT密码、实施强身份验证和监控域管理员活动。
白银票据:
相对容易检测,因为它针对特定服务,攻击范围较小。
防御措施包括定期更改服务账户密码、加强服务账户的监控和访问控制。
黄金票据允许攻击者在域内无限制地横向移动,因为它模拟了Kerberos的TGT,可以请求任何服务票据。
白银票据限制在特定服务上,攻击者只能访问伪造的TGS对应的服务,权限范围较小但仍然危险。
用实例实现后渗透密码收集。
