黄金票据(Golden Ticket)和白银票据(Silver Ticket)

缘友一世2025-12-17 8:34

文章目录

  • [一 核心定义](#一 核心定义)

  • [二 关键区别](#二 关键区别)

  • [三 核心原理](#三 核心原理)

  • [四 Minikatz实操命令](#四 Minikatz实操命令)

  • [五 核心总结](#五 核心总结)

  • 黄金票据(Golden Ticket)和白银票据(Silver Ticket)均是基于 Kerberos协议漏洞 的攻击手段,核心目的是绕过正常认证获取系统权限,但在获取条件、攻击范围、有效期上有本质区别,通俗理解:黄金票据拿"全局通行证",白银票据拿"单服务门禁卡"

一 核心定义

  1. 黄金票据(Golden Ticket)
  • 本质:伪造Kerberos协议中的 TGT(Ticket Granting Ticket,票据授予票据)
  • 作用:获取TGT后,可向KDC(密钥分发中心,域控核心组件)申请任意服务的ST(Service Ticket,服务票据),直接掌控整个域环境(域控、域内所有主机/服务均可访问)。
  1. 白银票据(Silver Ticket)
  • 本质:伪造Kerberos协议中的 ST(Service Ticket,服务票据)
  • 作用:无需向KDC申请,直接伪造目标单一服务的ST,仅能访问该特定服务(如文件共享服务CIFS、远程桌面服务RDP等),无法掌控整个域。

二 关键区别

对比维度 黄金票据(Golden Ticket) 白银票据(Silver Ticket)
伪造对象 TGT(票据授予票据) ST(服务票据)
核心依赖密钥 域管理员哈希(NTLM Hash)/ 域KRBTGT账户哈希(关键!) 目标服务对应的服务账户哈希(如CIFS服务用MachineAccount$哈希)
攻击范围 全域控制(可访问域控、所有域内主机/服务) 单一服务权限(仅能访问伪造的目标服务)
是否依赖KDC(域控) 是(需用伪造TGT向KDC申请ST) 否(直接伪造ST,无需与KDC交互)
有效期 可自定义(默认10小时,最长可设10年) 固定短有效期(默认10小时,无法大幅延长)
隐蔽性 较低(与KDC交互,易被日志审计捕获) 极高(不碰KDC,域控无日志,难被发现)
获取难度 较高(需拿到域KRBTGT账户哈希,需域管权限) 较低(仅需目标服务账户哈希,普通域用户权限即可尝试)

三 核心原理

  • Kerberos认证核心是"密钥验证":只有持有对应账户哈希(相当于"加密钥匙"),才能伪造合法票据,系统验证票据时会用哈希解密,解密成功则认可权限。

  1. 黄金票据原理:偷"域级总钥匙"。KRBTGT账户是域控专属的"票据生成账户",所有TGT都由它的哈希加密生成。

    攻击步骤:

    ① 拿到域KRBTGT账户的NTLM Hash(需域管理员权限,比如通过Minikatz读取域控lsass内存);

    ② 用Minikatz伪造TGT(黄金票据),自定义有效期和权限;

    ③ 用伪造TGT向KDC申请任意服务的ST,比如域控管理员服务、文件共享服务等,直接掌控全域。

  2. 白银票据原理:偷"单服务钥匙"。每个域内服务(如文件共享CIFS、远程桌面RDP、数据库MSSQL)都有专属服务账户(比如主机默认的MachineAccount账户,格式:主机名),服务启动时会加载该账户哈希,用于验证ST。

    攻击步骤:

    ① 拿到目标服务的服务账户哈希(比如想访问某主机的文件共享,就获取该主机MachineAccount$账户的NTLM Hash,普通域用户可通过枚举获取);

    ② 用Minikatz直接伪造该服务的ST(白银票据),指定服务类型(如CIFS)和目标主机;

    ③ 直接用伪造ST访问目标服务(比如访问文件共享、登录远程桌面),全程不与域控交互,无日志残留。

四 Minikatz实操命令

  1. 黄金票据生成命令(需KRBTGT哈希)
bash 复制代码 
# 核心命令(替换<>内参数)
mimikatz.exe "kerberos::golden /user:任意用户名 /domain:域名称(如test.com) /sid:域SID(如S-1-5-21-xxx) /krbtgt:KRBTGT账户NTLM哈希 /ticket:golden.ticket"

# 加载票据,获取权限
mimikatz.exe "kerberos::ptt golden.ticket"  # ptt=Pass The Ticket(票据传递)
  1. 白银票据生成命令(需服务账户哈希)

以"访问目标主机(PC01)的文件共享服务(CIFS)"为例:

bash 复制代码 
# 核心命令(替换<>内参数)
mimikatz.exe "kerberos::golden /user:任意用户名 /domain:域名称(如test.com) /sid:域SID /target:目标主机名(如PC01) /service:CIFS /rc4:目标服务账户NTLM哈希(PC01$的哈希) /ticket:silver.ticket"

# 加载票据,访问服务
mimikatz.exe "kerberos::ptt silver.ticket"
dir \\PC01\c$  # 测试访问目标主机C盘共享(成功则说明攻击生效)

五 核心总结

  • 黄金票据:拿域控"总钥匙"(KRBTGT哈希),控全域,难度高、隐蔽低;
  • 白银票据:拿单服务"小钥匙"(服务账户哈希),控单点,难度低、隐蔽极高。
相关推荐
xing.yu.CTF15 天前
ATT&CK实战系列-红队评估(九)(上)
网络·安全·web安全·横向移动·域渗透·内网对抗
扛枪的书生5 个月前
域渗透指南
windows·渗透·kali·域渗透
扛枪的书生5 个月前
AD 提权-NTLM 中继攻击(诱导认证)
windows·渗透·kali·提权·域渗透
扛枪的书生5 个月前
AD 提权-NTLM 中继攻击(强制认证)
windows·渗透·kali·提权·域渗透
扛枪的书生6 个月前
AD 横向移动-LSASS 进程转储
windows·渗透·kali·域渗透
扛枪的书生6 个月前
AD 提权-CVE-2022-26923: CertiFried
windows·渗透·kali·提权·域渗透
扛枪的书生6 个月前
AD 横向移动-哈希传递攻击
windows·渗透·kali·域渗透
扛枪的书生7 个月前
AD 横向移动-SMB 中继攻击
windows·渗透·kali·域渗透
扛枪的书生7 个月前
AD 横向移动-令牌模拟攻击
windows·渗透·kali·域渗透
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03Linux下V2Ray安装配置指南04【AutoGLM部署】本地私有化部署AI手机Agent05Open-AutoGLM Windows 安装部署教程06Cursor 又偷偷更新,这个功能太实用:Visual Editor for Cursor Browser07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08BongoCat - 跨平台键盘猫动画工具09安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)10【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)