[[255118]]

在內部分享的《徹底理解Windows認證》議題解讀，本次議題圍繞著Windows認證分別講解了：

• Pass The Hash
• Silver Tickets、Golden Tickets、
• Impersonation Token

這些技術分別能夠滿足我們在滲透中持續的維持權限、提權。

https://youtu.be/-FgWkU5awQE

0x00 本地認證

• 本地認證基礎知識
• NTLM Hash與NTLM
• NTLM Hash的產生
• 本地認證流程
• LM Hash

0x01 網絡認證

• NTLM 協議
• Chalenge/Response
• NTLM V2協議
• Pass The Hash

0x02 Kerberos域認證

• Active Directory(活動目錄)概念
• Active Directory(活動目錄)功能
• 域認證體系 - Kerbroes
• 域認證所參與的角色 (三只狗頭)
• 域認證粗略流程
• 域認證
• 白銀票據(Silver Tickets)
• 偽造白銀票據(Silver Tickets)
• 白銀票據(Silver Tickets)演示
• 白銀票據(Silver Tickets)防御
• 黃金票據(Golden Tickets)
• 黃金票據(Golden Tickets)-MSF kiwi
• 黃金票據(Golden Tickets) - 偽造
• 黃金票據(Golden Tickets) - 演示
• Tickets 總結

0x03 Windows Access Token

• Windows Access Token 簡介
• Windows Access Token組成
• Windows Access Token – SID (Security Identifiers)安全標識符
• Windows Access Token產生過程
• Windows Access Token令牌假冒實戰
• Windows Access Token令牌假冒實戰
• Windows Access Token令牌假冒防御

0x04 知識點總結

0x00 本地認證

本地認證基礎知識

 

在本地登錄Windows的情況下，操作系統會使用用戶輸入的密碼作為憑證去與系統中的密碼進行驗證，但是操作系統中的密碼存儲在哪里呢?

%SystemRoot%\system32\config\sam

當我們登錄系統的時候,系統會自動地讀取SAM文件中的“密碼”與我們輸入的“密碼”進行比對，如果相同，證明認證成功!

這個SAM文件中保留了計算機本地所有用戶的憑證信息，可以理解為是一個數據庫。

上面認證的過程只是粗略的說法，整個認證過程并沒有那么簡單，從操作系統的角度來看，還是需要鋪墊很多概念的。

Windows本身不保存明文密碼，只保留密碼的Hash。

 

Hash，一般翻譯做“散列”，也有直接音譯為“哈希”的，就是把任意長度的輸入(又叫做預映射pre-image)通過散列算法變換成固定長度的輸出，該輸出就是散列值。這種轉換是一種壓縮映射，也就是，散列值的空間通常遠小于輸入的空間，不同的輸入可能會散列成相同的輸出，所以不可能從散列值來確定唯一的輸入值。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。 – Baidu

為了保證存儲的不是明文，從而采用Hash，但是密碼Hash也需要特定的生成算法以及表現形式。

NTLM Hash與NTLM

 

在Windows中，密碼Hash目前稱之為NTLM Hash，其中NTLM全稱是：“NT LAN Manager”。

這個NTLM是一種網絡認證協議，與NTLM Hash的關系就是：NTLM網絡認證協議是以NTLM Hash作為根本憑證進行認證的協議。

也就是說，NTLM與NTLM Hash相互對應。

在本地認證的過程中，其實就是將用戶輸入的密碼轉換為NTLM Hash與SAM中的NTLM Hash進行比較。

 

NTLM Hash的產生

假設我的密碼是admin，那么操作系統會將admin轉換為十六進制，經過Unicode轉換后，再調用MD4加密算法加密，這個加密結果的十六進制就是NTLM Hash

admin -> hex(16進制編碼) = 61646d696e 
61646d696e -> Unicode = 610064006d0069006e00 
610064006d0069006e00 -> MD4 = 209c6174da490caeb422f3fa5a7ae634 

本地認證流程

winlogon.exe -> 接收用戶輸入 -> lsass.exe -> (認證) 

首先，用戶注銷、重啟、鎖屏后，操作系統會讓winlogon顯示登錄界面，也就是輸入框，接收輸入后，將密碼交給lsass進程，這個進程中會存一份明文密碼，將明文密碼加密成NTLM Hash，對SAM數據庫比較認證。

• Windows Logon Process(即 winlogon.exe)，是Windows NT 用戶登 陸程序，用于管理用戶登錄和退出。
• LSASS用于微軟Windows系統的安全機 制。它用于本地安全和登陸策略。

LM Hash

在NTLM協議問世之前，它對前身就是LM(LAN Manager)協議。

LM與NTLM協議的認證機制相同，但是加密算法不同。

目前大多數的Windows都采用NTLM協議認證，LM協議已經基本淘汰了。

LM協議認證過程中需要LM Hash作為根本憑證進行參與認證，下面就簡述一些LM Hash的產生：

• 將所有小寫字母轉換為大寫字母• >123ABC // 未達到7個字符• 將密碼轉化為16進制，分兩組，填充為14個字符,空余位使用0x00字符填補>31323341424300000000000000• 將密碼分割為兩組7個字節的塊
• >31323341424300 00000000000000 // 16進制• 將每組轉化為比特流，不足56Bit則在左邊加0• >31323341424300 ->(轉換為二進制) 110001001100100011001101000001010000100100001100000000-> (補 足56Bit)
• 00110001001100100011001101000001010000100100001100000000• 將比特流按照7比特一組，分出8組，末尾加0由于后者都為0，結果可想而知，那就都是0;
• 將每組比特流轉換為16進制作為被加密的值，使用DES加密，字符串 “KGS!@#$%”為Key(0x4B47532140232425)，得到8個結果 ，每個 結果轉換為16進制。• -> 00110000100110001000110001101000000101000001001000001100
• 00000000• ->30988C6814120C00 -> DES(30988C6814120C00) -> 48-D7-EB-91- 2F-5E-69-7C
• 由于我們的密碼不超過7字節，所以后面的一半是固定的:
• AA-D3-B4-35-B5-14-04-EE
• 連接兩個DES加密字符串。這是LM哈希。
• 48-D7-EB-91-2F-5E-69-7C-AA-D3-B4-35-B5-14-04-EE

在上面的產生過程中，脆弱點就在于DES的Key(KGS!@#$%)是固定的，也就是說，有了Key就能夠解出原文。

并且根據LM Hash特征，也能夠判斷用戶的密碼是否是大于等于7位。

0x01 網絡認證

 

在內網滲透中，經常遇到工作組環境，而工作組環境是一個邏輯 上的網絡環境(工作區)，隸屬于工作組的機器之間無法互相建 立一個完美的信任機制，只能點對點，是比較落后的認證方式， 沒有信托機構。

假設A主機與B主機屬于同一個工作組環境，A想訪問B主機上的資料，需要將一個存在于B主機上的賬戶憑證發送至B主機，經過認證才能夠訪問B主機上的資源。

這是我們接觸比較多的SMB共享文件的案例，SMB的默認端口是445。

早期SMB協議在網絡上傳輸明文口令。后來出現 LAN Manager Challenge/Response 驗證機制，簡稱LM，它是如此簡單以至很容易就被破解，現在又有了NTLM以及Kerberos。

 

NTLM協議

NTLM是一種網絡認證協議，它是基于挑戰(Chalenge)/響應(Response)認證機制的一種認證模式。

這個協議只支持Windows

Chalenge/Response

NTLM協議的認證過程分為三步：

• 協商
• 質詢
• 驗證

協商：主要用于確認雙方協議版本

質詢：就是挑戰(Chalenge)/響應(Response)認證機制起作用的范疇，本小節主要討論這個機制的運作流程。

驗證：驗證主要是在質詢完成后，驗證結果，是認證的最后一步。

質詢的完整過程：

1.客戶端向服務器端發送用戶信息(用戶名)請求

2.服務器接受到請求，生成一個16位的隨機數，被稱之為“Challenge”， 使用登錄用戶名對應的NTLM Hash加密Challenge(16位隨機字符)， 生成Challenge1。同時，生成Challenge1后，將Challenge(16位隨機 字符)發送給客戶端。

3.客戶端接受到Challenge后，使用將要登錄到賬戶對應的NTLM Hash加密Challenge生成Response，然后將Response發送至服務器端。

其中，經過NTLM Hash加密Challenge的結果在網絡協議中稱之為Net NTLM Hash。

驗證： 服務器端收到客戶端的Response后，比對Chanllenge1與Response是否相等，若相等，則認證通過。

使用另外一種方式解讀：

1.Server接收到Client發送的用戶名后，判斷本地賬戶列 表是否有用戶名share_user

• 如果沒有，返回認證失敗
• 如果有，生成Chanllenge，并且從本地查找share_user對 應的NTLM Hash，使用NTLM Hash加密Chanllenge，生成一 個Net-NTLM Hash存在內存中，并將Chanllenge發送給Client。

2.Client接收到Chanllenge后，將自己提供的share_user的密碼轉換為NTLM Hash，使用NTLM Hash加密Chanllenge， 這個結果叫Response，表現形式是Net-NTLM Hash，最后將Response發送給Server。

3.Server接收到Client發送的Response，將Response與之 前的Net-NTLM Hash進行比較，如果相等，則認證通過。

注意:

1.Chanllenge是Server產生的一個16字節的隨機數，每次認證都不同

2.Response的表現形式是Net-NTLM Hash，它是由客戶端 提供的密碼Hash加密Server返回的Chanllenge產生的結果。

 

NTLM V2協議

NTLM v1與NTLM v2最顯著的區別就是Challenge與加密算法不同，共同點就是加密的原料都是NTLM Hash。

下面細說一下有什么不同:

• Challage:NTLM v1的Challenge有8位，NTLM v2的Challenge為16位。
• Net-NTLM Hash:NTLM v1的主要加密算法是DES，NTLM v2的主要加密算法是HMAC-MD5。

現在應該能夠理解什么是NTLM、NTLM Hash、LM、LM Hash、Net NTLM Hash了吧?

Pass The Hash

在內網滲透中，我們經常會需要抓取管理員的密碼、NTLM Hash，通過搜集這些信息有助于我們擴大戰果，尤其是在域環境下。

• 什么是哈希傳遞?
• 哈希傳遞是能夠在不需要賬戶明文密碼的情況下完成認證的一個技術。
• 哈希傳遞的作用?

解決了我們滲透中獲取不到明文密碼、破解不了NTLM Hash而又 想擴大戰果的問題。

• Pass The Hash - 必要條件
• 哈希傳遞需要被認證的主機能夠訪問到服務器(廢話)
• 哈希傳遞需要被傳遞認證的用戶名
• 哈希傳遞需要被傳遞認證用戶的NTLM Hash

要完成一個NTLM認證，第一步需要客戶端將自己要參與認證的 用戶名發送至服務器端，等待服務器端給出的Challenge⋯⋯

其實哈希傳遞就是使用用戶名對應的NTLM Hash將服務器給出的 Chanllenge加密，生成一個Response，來完成認證。

Pass The Hash能夠完成一個不需要輸入密碼的NTLM協議認證流程，所以不算是一個漏洞，算是一個技巧。

Pass The Hash的工具：

• Smbmap
• CrackMapExec
• Smbexec
• Metasploit

使用CrackMapExec實現Hash傳遞：

root@kali:~/cache# cme smb 192.168.3.5 -u administrator -H dab7de8feeb5ecac65faf9fdc6cac3a9 -x whoami 
SMB 192.168.3.5 445 LIYINGZHEA30B 
[*] Windows 7 Ultimate 7601 Service Pack 1 x64 (name:LIYINGZHEA30B) 
(domain:PAYLOADS) (signing:False) (SMBv1:True) 
SMB 192.168.3.5 445 LIYINGZHEA30B 
[+] PAYLOADS\administrator dab7de8feeb5ecac65faf9fdc6cac3a9 
(Pwn3d!)SMB 192.168.3.5 445 LIYINGZHEA30B [+] Executed command 

0x02 Kerberos域認證

Active Directory(活動目錄)概念

Windows提供了為企業管理資產、服務、網絡對象進行組織化的管理，這非常符合企業架構的管理模式。而承載這些管理機制的就是活動目錄服務。如果要搭建一個域，就需要安裝活動目錄服務，當然，這個不在我們的討論范圍。

活動目錄服務以域名來劃分域的邊界，域外就不屬于管理范圍了，也就是說，一個域對應一個域名，域之間也可以相互信任。

• Active Directory存儲了有關網絡對象的信息，并且讓管理員和用 戶能夠輕松地查找和使用這些信息。Active Directory使用了一種 結構化的數據存儲方式，并以此作為基礎對目錄信息進行合乎邏 輯的分層組織。
• 網絡對象分為:用戶、用戶組、計算機、域、組織單位以及安全 策略等。

Active Directory(活動目錄)功能

• 服務器及客戶端計算機管理:管理服務器及客戶端計算機賬戶， 所有服務器及客戶端計算機加入域管理并實施組策略。
• 用戶服務:管理用戶域賬戶、用戶信息、企業通訊錄(與電子郵 件系統集成)、用戶組管理、用戶身份認證、用戶授權管理等， 按省實施組管理策略。
• 資源管理:管理打印機、文件共享服務等網絡資源。
• 桌面配置:系統管理員可以集中的配置各種桌面配置策略，如: 用戶使用域中資源權限限制、界面功能的限制、應用程序執行特 征限制、網絡連接限制、安全配置限制等。
• 應用系統支撐:支持財務、人事、電子郵件、企業信息門戶、辦 公自動化、補丁管理、防病毒系統等各種應用系統。

在域中，網絡對象可以相互訪問，但是在真實情況中，需要對某些部門的計算機進行限制，例如：銷售部門不能訪問技術部門的服務器。

這個中間就需要Kerberos認證協議來驗證網絡對象間的權限。

域認證體系 - Kerbroes

Kerberos 是一種網絡認證協議，其設計目標是通過密鑰系統為客 戶機 / 服務器應用程序提供強大的認證服務。該認證過程的實現不 依賴于主機操作系統的認證，無需基于主機地址的信任，不要求 網絡上所有主機的物理安全，并假定網絡上傳送的數據包可以被 任意地讀取、修改和插入數據。在以上情況下， Kerberos 作為一 種可信任的第三方認證服務，是通過傳統的密碼技術(如:共享 密鑰)執行認證服務的。

域認證所參與的角色 (三只狗頭)

Kerberos的標志是三只狗頭，狗頭分別代表以下角色：

• Client
• Server
• KDC(Key Distribution Center) = DC(Domain Controller)

Kerberos認證協議的基礎概念：

票據(Ticket)：是網絡對象互相訪問的憑證。 TGT(Ticket Granting Ticket)：入場券，通過入場券能夠獲得票據，是一種臨時憑證的存在。

KDC負責管理票據、認證票據、分發票據，但是KDC不是一個獨立的服務，它由以下服務組成：

• Authentication Service: 為client生成TGT的服務
• Ticket Granting Service: 為client生成某個服務的ticket

另外還需要介紹一個類似于本機SAM的一個數據庫：AD，全稱叫account database，存儲所有client的白名單，只有存 在于白名單的client才能順利申請到TGT。

從物理層面看，AD與KDC均為域控制器(Domain Controller)。

域認證粗略流程

• client向kerberos服務請求，希望獲取訪問server的權限。 kerberos得到了這個消息，首先得判斷client是否是可信賴的， 也就是白名單黑名單的說法。這就是AS服務完成的工作，通過 在AD中存儲黑名單和白名單來區分client。成功后，返回AS返 回TGT給client。
• client得到了TGT后，繼續向kerberos請求，希望獲取訪問 server的權限。kerberos又得到了這個消息，這時候通過client 消息中的TGT，判斷出了client擁有了這個權限，給了client訪 問server的權限ticket。
• client得到ticket后，終于可以成功訪問server。這個ticket只是 針對這個server，其他server需要向TGS申請。

域認證

 

首先，客戶端需要發送自己的身份信息到KDC，身份信息中起碼包含用戶名，KDC根據用戶名在AD中尋找是否在白名單中，然后根據用戶名提取到對應的NTLM Hash。

KDC此時生成一個隨機字符串，叫Session Key，使用用戶名對應的NTLM Hash加密Session Key，作為AS數據，使用KDC中某個用戶的NTLM Hash加密Session Key和客戶端的信息，生成TGT。

• Session Key用于客戶端向TGS服務通信。
• 域內所有網絡對象的憑證都在AD中保存
• KDC中某個用戶指的是krbtgt

數據結構：

 

 

其中，TGT的到期時間為8小時，如果超過了8小時，還需要重新申請TGT，不能之間進入下一步獲取Ticket。

Kerberos是一個假設網絡環境不安全的情況下能夠正常進行認證工作的協議。

第一步中，KDC返回的TGT客戶端是無法解密的，因為它沒有KDC Hash，如果有，我們就可以偽造黃金票據，這個是后話了。

 

第二步客戶端需要提供TGT與第一步中使用自己NTLM Hash解密出來的Session Key加密的客戶端信息跟時間戳。

如果假設這個數據被中間人竊取到，也無法在段時間內破解，因為KDC會校驗時間戳。

KDC接到TGT與其他內容后，會首先解密TGT，只有KDC可以解密TGT，從TGT中提取到Session Key，再使用Session Key解密其他內容，解密出來的內容同TGT中的信息進行校驗來確認客戶端是否受信。

驗證通過后，就會生成一個新的Session Key，我們稱之為Server Session Key，這個Server Session Key主要用于和服務器進行通信。同時還會生成一個Ticket，也就是最后的票據了。

Ticket組成如下：

 

Server Hash：這個Hash是在AD中服務器計算機的NTLM Hash

 

在第三步里，客戶端向服務器請求，需要提供Ticket，Server Session Key加密的客戶端信息與時間戳。

• Ticket客戶端無法解密
• 服務器端通過解密Ticket解密Server Session Key(Client info + Timestamp)
• 比較時間長度

校驗通過后，認證成功，該票據會一直存在客戶端內存中。

白銀票據(Silver Tickets)

白銀票據特點:

• 1.不需要與KDC進行交互
• 2.需要目標服務的NTLM Hash

在第三步認證中的Ticket的組成:

Ticket=Server Hash(Server Session Key+Client info+End Time) 

當擁有Server Hash時，我們就可以偽造一個不經過KDC認證的一個Ticket。

PS:Server Session Key在未發送Ticket之前，服務器是不知道Server Session Key是什么的。 所以，一切憑據都來源于Server Hash。

偽造白銀票據(Silver Tickets)

首先需要導出Server Hash：

C:\files>mimikatz.exe "privilege::debug” "sekurlsa::logonpasswords" "exit" > log.txt 

偽造票據:

mimikatz “kerberos::golden /domain:<域名> /sid:<域 SID> /target:<目標服務器主機名> /service:<服務類型> /rc4: /user:<用戶名> /ptt" exit 

Other：

• kerberos::list #列出票據
• kerberos::purge # 清除票據

由于白銀票據需要目標服務器的Hash，所以沒辦法生成對應域內 所有服務器的票據，也不能通過TGT申請。因此只能針對服務器 上的某些服務去偽造，偽造的服務類型列表如下:

 

白銀票據(Silver Tickets)演示

https://rvn0xsy.oss-cn-shanghai.aliyuncs.com/2018-11-30/kerberos_stgt.mp4

白銀票據(Silver Tickets)防御

• 1.盡量保證服務器憑證不被竊取
• 2.開啟PAC (Privileged Attribute Certificate) 特權屬性證書保護 功能，PAC主要是規定服務器將票據發送給kerberos服務，由 kerberos服務驗證票據是否有效。

開啟方式:

將注冊表中

HKEY_LOCAL_MACHINE\SYSTEM \ CurrentControlSet\Control\Lsa\Kerberos\Parameters 

中的ValidateKdcPacSignature設置為1。

黃金票據(Golden Tickets)

黃金票據特點:

• 1.需要與DC通信
• 2.需要krbtgt用戶的hash

PS:這里的krbtgt hash就是之前講的KDC Hash

黃金票據(Golden Tickets)-MSF kiwi

使用meterpreter中的kiwi模塊：

load kiwi

創建票據：

 

注入到內存：

 

使用wmic在目標服務器上創建一個進程：

 

黃金票據(Golden Tickets) - 偽造

偽造票據:

mimikatz “kerberos::golden /domain:<域名> /sid:<域SID> /rc4: /user:<任意用戶名> /ptt" exit 

黃金票據(Golden Tickets) - 演示

https://rvn0xsy.oss-cn-shanghai.aliyuncs.com/2018-11-30/kerberos_gtgt.mp4

Tickets 總結

黃金票據:從攻擊面來看，獲取krbtgt用戶的hash后，可以在域中 進行持久性的隱藏，并且日志無法溯源，但是需要拿到DC權限， 使用黃金票據能夠在一個域環境中長時間控制整個域。

從防御角度來看，需要經常更新krbtgt的密碼，才能夠使得原有的 票據失效。最根本的辦法是不允許域管賬戶登錄其他服務器。

白銀票據:從攻擊面來看，偽造白銀票據的難度比偽造黃金票據的 難度較小，因為一個域中的服務器如果對外的話，非常容易被入侵， 并且容易被轉儲Server。

從防御角度來看，需要開啟PAC認證，但這會降低認證效率，增加 DC的負擔，最根本的還是要加固服務器本身對外的服務。

0x03 Windows Access Token

01Windows Access Token 簡介

Windows Token其實叫Access Token(訪問令牌)，它是一個描 述進程或者線程安全上下文的一個對象。不同的用戶登錄計算機后， 都會生成一個Access Token，這個Token在用戶創建進程或者線程 時會被使用，不斷的拷貝，這也就解釋了A用戶創建一個進程而該 進程沒有B用戶的權限。

Access Token種類：

• 主令牌
• 模擬令牌

一般情況下，用戶雙擊運行一個程序，都會拷貝“explorer.exe”的Access Token。

當用戶注銷后，系統將會使主令牌切換為模擬令牌，不會將令牌清除，只有在重啟機器后才會清除。

02Windows Access Token組成

• 用戶帳戶的安全標識符(SID)
• 用戶所屬的組的SID
• 用于標識當前登錄會話的登錄SID
• 用戶或用戶組所擁有的權限列表
• 所有者SID
• 主要組的SID
• 訪問控制列表
• 訪問令牌的來源
• 令牌是主要令牌還是模擬令牌
• 限制SID的可選列表
• 目前的模擬等級
• 其他統計數據

03Windows Access Token

– SID (Security Identifiers)安全標識符

安全標識符是一個唯一的字符串，它可以代表一個賬戶、一個用戶 組、或者是一次登錄。通常它還有一個SID固定列表，例如 Everyone這種已經內置的賬戶，默認擁有固定的SID。

• SID的表現形式:
• 域SID-用戶ID
• 計算機SID-用戶ID

SID列表都會存儲在域控的AD或者計算機本地賬戶數據庫中。

04Windows Access Token產生過程

每個進程創建時都會根據登錄會話權限由LSA(Local Security Authority)分配一個Token(如果CreaetProcess時自己指定了 Token, LSA會用該Token， 否則就用父進程Token的一份拷貝。

05Windows Access Token令牌假冒實戰

當用戶注銷后，系統將會使主令牌切換為模擬令牌，不會將令牌清 除，只有在重啟機器后才會清除。

可以使用多種工具查看目前系統上存在的模擬令牌:

• Incognito
• Powershell - Invoke-TokenManipulation.ps1
• Cobalt Strike - steal_token

案例(針對某跨國企業的一次滲透測試 獲取DC權限): http://blog.360ec.net/archives/32/

06Windows Access Token令牌假冒實戰

meterpreter > getsystem 
meterpreter > load incognito meterpreter > list_tokens –u 
Delegation Tokens Available ============================== NT AUTHORITY\LOCAL SERVICENT AUTHORITY\NETWORK SERVICENT AUTHORITY\SYSTEM PAYLOADS\Administrator PAYLOADS\w7 
meterpreter > impersonate_token "PAYLOADS\\Administrator” 
[+] Delegation token available 
[+] Successfully impersonated user PAYLOADS\Administrator 

07Windows Access Token令牌假冒防御

禁止Domain Admins登錄對外且未做安全加固的服務器，因為一旦服務器被入侵，域管理員的令牌可能會被攻擊者假冒，從控制DC。

如果想清除假冒，重啟服務器即可。

0x04 知識點總結

本次議題圍繞著Windows認證分別講解了Pass The Hash、Silver Tickets、Golden Tickets、 Impersonation Token的原理。 這些技術分別能夠滿足我們在滲透中持續的維持權限、提權。

可拓展:

域滲透技術/思路，SPN掃描，Red/Blue team

• https://lolbas-project.github.io/
• https://gtfobins.github.io/
• https://github.com/yeyintminthuhtut/Awesome-Red-Teaming