深入浅出：内网黄金票据与白银票据

在域环境中，Kerberos认证是确保安全通信的基石，而黄金票据和白银票据则是攻击者常用的两种经典手段。为了帮助大家更形象地理解它们的工作原理及防御措施，我们不妨将其与在私人电影院购票的情景做类比。具体内容参考如下图示即可：

一、Kerberos认证的电影院场景

想象一下，你正准备进入私人电影院观看电影，整个过程就像是Kerberos认证的工作方式：

1. 用户（Client）来到电影院，提供自己的账号和密码，相当于身份认证的第一步。
2. 前台（AS，Authentication Service）验证信息后，发放给用户一张"兑换券"，这相当于Kerberos中的TGT（Ticket Granting Ticket）。
3. 拿到兑换券后，用户去找售票人员（TGS，Ticket Granting Service），将兑换券兑换成“电影票”（即ST（Service Ticket）），为进入电影放映厅做准备。
4. 用户凭借电影票顺利进入放映厅，观看自己想要的电影——这就对应了用户通过白银票据访问目标服务。

在这个场景中：

• 兑换券对应黄金票据（TGT），它是访问所有服务的通行证。
• 电影票则是白银票据（ST），是访问特定服务的凭证。

二、黄金票据（Golden Ticket）

官方解释

黄金票据是伪造的TGT（Ticket Granting Ticket），通常由攻击者获取域控的krbtgt账户哈希值后伪造，能够让攻击者在整个域环境中任意冒充任何用户，访问所有服务。

技术原理

在Kerberos认证过程中，TGT由域控制器的krbtgt账户进行签名。攻击者一旦获得该账户的哈希值，就可以伪造TGT票据，并用其访问域内的任意服务，就像持有万能电影票的观众，可以随意观看任何电影。

实际利用

1. 获取域控的krbtgt账户哈希值。
2. 使用Mimikatz等工具生成伪造的TGT。
3. 利用伪造的TGT向任意服务发起请求，从而获得管理员权限，完全控制目标网络。

特点

• 全域通用：黄金票据是域内万能的，几乎可以访问任何服务或机器。
• 持久性强：只要krbtgt账户的密码没有重置，黄金票据可以持续有效，攻击者可以长期保持控制。

防御策略

• 定期重置krbtgt账户密码，减少黄金票据的有效期。
• 加强对域控制器的保护，防止krbtgt账户哈希泄露。
• 使用SIEM（安全信息与事件管理）工具监控异常登录、票据生成等活动。

三、白银票据（Silver Ticket）

官方解释

白银票据是伪造的ST（Service Ticket），由TGS（Ticket Granting Service）生成。与黄金票据不同，白银票据只针对特定服务或目标机器有效，是一种“定向”攻击方式。

技术原理

ST是由目标服务账户的哈希签名的。攻击者一旦获得特定服务的账户哈希值，就能伪造ST，并凭借该票据向目标服务发起请求，进行访问。

实际利用

1. 通过攻击手段（如Pass-the-Hash）获取目标服务的账户哈希值。
2. 使用Mimikatz等工具伪造ST。
3. 伪造的ST可以直接用于访问特定服务，比如登录远程桌面、访问数据库等。

特点

• 目标明确：白银票据只在特定服务上有效，限制了攻击的范围。
• 隐蔽性高：伪造的白银票据无需与域控交互，因此难以被察觉，攻击者可以低调操作。

防御策略

• 定期更新服务账户的密码，避免账户哈希被盗。
• 限制服务账户的权限，确保它们无法被滥用。
• 设置针对敏感服务的ACL（访问控制列表），控制可访问该服务的用户或机器。

四、黄金票据与白银票据的对比

黄金票据：是直接抓取域控中ktbtgt账号的hash，来在client端生成一个TGT票据，那么该票据是针对所有机器的所有服务。

白银票据：实际就是在抓取到了域控服务hash的情况下，在client端以一个普通域用户的身份生成TGS票据，并且是针对于某个机器上的某个服务的，生成的白银票据,只能访问指定的target机器中指定的服务。

五、总结

黄金票据和白银票据是Kerberos认证体系中常见的被攻击者滥用的两种手段。黄金票据更侧重于全域控制，而白银票据则专注于特定服务的攻击。为了有效防御这些攻击，企业应：

• 强化域控和服务账户的安全，防止哈希值泄露。
• 定期更新密码、最小化权限，并使用强认证机制。
• 通过持续监控、日志分析等手段，识别和防止异常行为。

通过将Kerberos认证的流程与私人电影院的购票过程做类比，我们可以更加直观地理解黄金票据和白银票据的攻击手段及其威胁。希望大家能通过这篇文章，对Kerberos认证体系中的潜在风险有更深入的认识。