在域环境中,Kerberos认证是确保安全通信的基石,而黄金票据和白银票据则是攻击者常用的两种经典手段。为了帮助大家更形象地理解它们的工作原理及防御措施,我们不妨将其与在私人电影院购票的情景做类比。具体内容参考如下图示即可:
一、Kerberos认证的电影院场景
想象一下,你正准备进入私人电影院观看电影,整个过程就像是Kerberos认证的工作方式:
- 用户(Client)来到电影院,提供自己的账号和密码,相当于身份认证的第一步。
- 前台(AS,Authentication Service)验证信息后,发放给用户一张"兑换券",这相当于Kerberos中的TGT(Ticket Granting Ticket)。
- 拿到兑换券后,用户去找售票人员(TGS,Ticket Granting Service),将兑换券兑换成“电影票”(即ST(Service Ticket)),为进入电影放映厅做准备。
- 用户凭借电影票顺利进入放映厅,观看自己想要的电影——这就对应了用户通过白银票据访问目标服务。
在这个场景中:
- 兑换券对应黄金票据(TGT),它是访问所有服务的通行证。
- 电影票则是白银票据(ST),是访问特定服务的凭证。
二、黄金票据(Golden Ticket)
官方解释
黄金票据是伪造的TGT(Ticket Granting Ticket),通常由攻击者获取域控的krbtgt账户哈希值后伪造,能够让攻击者在整个域环境中任意冒充任何用户,访问所有服务。
技术原理
在Kerberos认证过程中,TGT由域控制器的krbtgt账户进行签名。攻击者一旦获得该账户的哈希值,就可以伪造TGT票据,并用其访问域内的任意服务,就像持有万能电影票的观众,可以随意观看任何电影。
实际利用
- 获取域控的
krbtgt账户哈希值。 - 使用Mimikatz等工具生成伪造的TGT。
- 利用伪造的TGT向任意服务发起请求,从而获得管理员权限,完全控制目标网络。
特点
- 全域通用:黄金票据是域内万能的,几乎可以访问任何服务或机器。
- 持久性强:只要
krbtgt账户的密码没有重置,黄金票据可以持续有效,攻击者可以长期保持控制。
防御策略
- 定期重置krbtgt账户密码,减少黄金票据的有效期。
- 加强对域控制器的保护,防止krbtgt账户哈希泄露。
- 使用SIEM(安全信息与事件管理)工具监控异常登录、票据生成等活动。
三、白银票据(Silver Ticket)
官方解释
白银票据是伪造的ST(Service Ticket),由TGS(Ticket Granting Service)生成。与黄金票据不同,白银票据只针对特定服务或目标机器有效,是一种“定向”攻击方式。
技术原理
ST是由目标服务账户的哈希签名的。攻击者一旦获得特定服务的账户哈希值,就能伪造ST,并凭借该票据向目标服务发起请求,进行访问。
实际利用
- 通过攻击手段(如Pass-the-Hash)获取目标服务的账户哈希值。
- 使用Mimikatz等工具伪造ST。
- 伪造的ST可以直接用于访问特定服务,比如登录远程桌面、访问数据库等。
特点
- 目标明确:白银票据只在特定服务上有效,限制了攻击的范围。
- 隐蔽性高:伪造的白银票据无需与域控交互,因此难以被察觉,攻击者可以低调操作。
防御策略
- 定期更新服务账户的密码,避免账户哈希被盗。
- 限制服务账户的权限,确保它们无法被滥用。
- 设置针对敏感服务的ACL(访问控制列表),控制可访问该服务的用户或机器。
四、黄金票据与白银票据的对比
| 特性 | 黄金票据 | 白银票据 |
|---|---|---|
| 签名来源 | krbtgt账户哈希 | 目标服务账户哈希 |
| 覆盖范围 | 全域(所有服务和机器) | 特定机器上的特定服务 |
| 利用难度 | 获取域控权限后即可生成 | 获取目标服务账户哈希后即可生成 |
| 隐蔽性 | 较低(需与域控交互) | 较高(无需与域控交互) |
| 有效时长 | 持续有效(直到krbtgt重置) | 受服务账户密码更改影响 |
黄金票据:是直接抓取域控中ktbtgt账号的hash,来在client端生成一个TGT票据,那么该票据是针对所有机器的所有服务。
白银票据:实际就是在抓取到了域控服务hash的情况下,在client端以一个普通域用户的身份生成TGS票据,并且是针对于某个机器上的某个服务的,生成的白银票据,只能访问指定的target机器中指定的服务。
五、总结
黄金票据和白银票据是Kerberos认证体系中常见的被攻击者滥用的两种手段。黄金票据更侧重于全域控制,而白银票据则专注于特定服务的攻击。为了有效防御这些攻击,企业应:
- 强化域控和服务账户的安全,防止哈希值泄露。
- 定期更新密码、最小化权限,并使用强认证机制。
- 通过持续监控、日志分析等手段,识别和防止异常行为。
通过将Kerberos认证的流程与私人电影院的购票过程做类比,我们可以更加直观地理解黄金票据和白银票据的攻击手段及其威胁。希望大家能通过这篇文章,对Kerberos认证体系中的潜在风险有更深入的认识。
![[WiFi] WiFi 802.1x介绍及EAP认证流程整理](https://i-blog.csdnimg.cn/direct/82b957e6134041caba148f053fe463a2.png)
