Silver Ticket
Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns heute bei https://go.intigriti.com/hacktricks und beginnen Sie, Prämien von bis zu $100.000 zu verdienen!
Silver Ticket
Der Silver Ticket-Angriff beinhaltet die Ausnutzung von Diensttickets in Active Directory (AD)-Umgebungen. Diese Methode beruht auf der Erwerbung des NTLM-Hashes eines Dienstkontos, wie z.B. eines Computer-Kontos, um ein Ticket Granting Service (TGS)-Ticket zu fälschen. Mit diesem gefälschten Ticket kann ein Angreifer auf bestimmte Dienste im Netzwerk zugreifen und sich als beliebiger Benutzer ausgeben, wobei typischerweise administrative Berechtigungen angestrebt werden. Es wird betont, dass die Verwendung von AES-Schlüsseln zur Fälschung von Tickets sicherer und weniger nachweisbar ist.
Für die Ticket-Erstellung werden je nach Betriebssystem unterschiedliche Tools eingesetzt:
Auf Linux
Auf Windows
Der CIFS-Dienst wird als häufiges Ziel hervorgehoben, um auf das Dateisystem des Opfers zuzugreifen, aber auch andere Dienste wie HOST und RPCSS können für Aufgaben und WMI-Abfragen ausgenutzt werden.
Verfügbare Dienste
Mit Rubeus können Sie alle diese Tickets mit dem Parameter anfordern:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
Ereignis-IDs für Silber-Tickets
4624: Kontoanmeldung
4634: Abmeldung des Kontos
4672: Anmeldung des Administrators
Missbrauch von Diensttickets
In den folgenden Beispielen stellen wir uns vor, dass das Ticket unter Verwendung des Administratorkontos abgerufen wird.
CIFS
Mit diesem Ticket können Sie auf den C$
- und ADMIN$
-Ordner über SMB zugreifen (wenn sie exponiert sind) und Dateien in einen Teil des Remote-Dateisystems kopieren, indem Sie einfach etwas tun wie:
Sie werden auch in der Lage sein, eine Shell im Host zu erhalten oder beliebige Befehle mit psexec auszuführen:
HOST
Mit dieser Berechtigung können Sie geplante Aufgaben auf Remote-Computern erstellen und beliebige Befehle ausführen:
HOST + RPCSS
Mit diesen Tickets können Sie WMI im Opfersystem ausführen:
Finden Sie weitere Informationen über wmiexec auf der folgenden Seite:
HOST + WSMAN (WINRM)
Mit winrm-Zugriff über einen Computer können Sie darauf zugreifen und sogar eine PowerShell erhalten:
Überprüfen Sie die folgende Seite, um mehr Möglichkeiten zu erfahren, sich mit einem Remote-Host über winrm zu verbinden:
Beachten Sie, dass winrm aktiv und hörend auf dem Remote-Computer sein muss, um darauf zuzugreifen.
LDAP
Mit diesem Privileg können Sie die DC-Datenbank mit DCSync dumpen:
Erfahren Sie mehr über DCSync auf der folgenden Seite:
Referenzen
Bug-Bounty-Tipp: Melden Sie sich an für Intigriti, eine Premium-Bug-Bounty-Plattform, die von Hackern für Hacker erstellt wurde! Treten Sie uns bei https://go.intigriti.com/hacktricks heute bei und beginnen Sie, Prämien von bis zu 100.000 $ zu verdienen!
Last updated