Silver Ticket
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Silver ticket
银票攻击涉及在Active Directory (AD)环境中利用服务票证。此方法依赖于获取服务帐户的NTLM哈希,例如计算机帐户,以伪造票证授予服务(TGS)票证。通过这个伪造的票证,攻击者可以访问网络上的特定服务,冒充任何用户,通常目标是获取管理权限。强调使用AES密钥伪造票证更安全且不易被检测。
对于票证制作,根据操作系统使用不同的工具:
On Linux
在Windows上
CIFS服务被强调为访问受害者文件系统的常见目标,但其他服务如HOST和RPCSS也可以被利用来执行任务和WMI查询。
可用服务
服务类型 | 服务银票 |
---|---|
WMI | HOST RPCSS |
PowerShell远程管理 | HOST HTTP 根据操作系统还包括: WSMAN RPCSS |
WinRM | HOST HTTP 在某些情况下,您可以仅请求:WINRM |
计划任务 | HOST |
Windows文件共享,也包括psexec | CIFS |
LDAP操作,包括DCSync | LDAP |
Windows远程服务器管理工具 | RPCSS LDAP CIFS |
黄金票据 | krbtgt |
使用Rubeus,您可以使用以下参数请求所有这些票据:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
银票事件ID
4624:账户登录
4634:账户注销
4672:管理员登录
滥用服务票据
在以下示例中,假设票据是通过模拟管理员账户获取的。
CIFS
使用此票据,您将能够通过SMB访问C$
和ADMIN$
文件夹(如果它们被暴露),并通过执行类似以下操作将文件复制到远程文件系统的一部分:
您还可以获得主机内部的 shell 或使用 psexec 执行任意命令:
PsExec/Winexec/ScExecHOST
凭借此权限,您可以在远程计算机上生成计划任务并执行任意命令:
HOST + RPCSS
使用这些票证,您可以在受害者系统中执行 WMI:
找到有关 wmiexec 的更多信息,请访问以下页面:
WmiExecHOST + WSMAN (WINRM)
通过 winrm 访问计算机,您可以 访问它,甚至获取 PowerShell:
检查以下页面以了解 使用 winrm 连接远程主机的更多方法:
WinRM请注意,winrm 必须在远程计算机上处于活动状态并监听才能访问它。
LDAP
凭借此权限,您可以使用 DCSync 转储 DC 数据库:
了解更多关于 DCSync 在以下页面:
参考文献
漏洞赏金提示:注册 Intigriti,一个由黑客为黑客创建的高级漏洞赏金平台!今天就加入我们,访问 https://go.intigriti.com/hacktricks,开始赚取高达 $100,000 的赏金!
Last updated