Golden Ticket
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
'n Golden Ticket aanval bestaan uit die skepping van 'n legitieme Ticket Granting Ticket (TGT) wat enige gebruiker naboots deur die gebruik van die NTLM-hash van die Active Directory (AD) krbtgt rekening. Hierdie tegniek is veral voordelig omdat dit toegang tot enige diens of masjien binne die domein as die nabootste gebruiker moontlik maak. Dit is belangrik om te onthou dat die krbtgt rekening se geloofsbriewe nooit outomaties opgedateer word.
Om die NTLM-hash van die krbtgt rekening te verkry, kan verskeie metodes gebruik word. Dit kan onttrek word uit die Local Security Authority Subsystem Service (LSASS) proses of die NT Directory Services (NTDS.dit) lêer wat op enige Domeinbeheerder (DC) binne die domein geleë is. Verder is die uitvoering van 'n DCsync aanval 'n ander strategie om hierdie NTLM-hash te verkry, wat uitgevoer kan word met behulp van gereedskap soos die lsadump::dcsync module in Mimikatz of die secretsdump.py skrip deur Impacket. Dit is belangrik om te beklemtoon dat om hierdie operasies uit te voer, domein admin regte of 'n soortgelyke vlak van toegang gewoonlik vereis word.
Alhoewel die NTLM-hash as 'n lewensvatbare metode vir hierdie doel dien, word dit sterk aanbeveel om kaartjies te vervals met die Advanced Encryption Standard (AES) Kerberos sleutels (AES128 en AES256) vir operasionele sekuriteitsredes.
Sodra jy die goue kaart ingespuit het, kan jy toegang verkry tot die gedeelde lêers (C$), en dienste en WMI uitvoer, sodat jy psexec of wmiexec kan gebruik om 'n shell te verkry (dit lyk of jy nie 'n shell via winrm kan kry nie).
Die mees algemene maniere om 'n goue kaart op te spoor, is deur Kerberos-verkeer op die draad te inspekteer. Standaard teken Mimikatz die TGT vir 10 jaar, wat as anomaal sal uitstaan in daaropvolgende TGS versoeke wat daarmee gemaak word.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Gebruik die /startoffset
, /endin
en /renewmax
parameters om die beginoffset, duur en die maksimum hernuigings te beheer (alles in minute).
Helaas, die TGT se leeftyd word nie in 4769 se logs aangeteken nie, so jy sal hierdie inligting nie in die Windows gebeurtenislogs vind nie. Wat jy egter kan korreleer, is om 4769's te sien sonder 'n vorige 4768. Dit is nie moontlik om 'n TGS aan te vra sonder 'n TGT nie, en as daar geen rekord van 'n TGT wat uitgereik is nie, kan ons aflei dat dit offline vervals is.
Om hierdie deteksie te omseil, kyk na die diamond tickets:
Diamond Ticket4624: Rekening Aanmelding
4672: Admin Aanmelding
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Ander klein truuks wat verdedigers kan doen, is om te waarsku oor 4769's vir sensitiewe gebruikers soos die standaard domein administrateur rekening.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)