Silver Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
El ataque Silver Ticket implica la explotación de tickets de servicio en entornos de Active Directory (AD). Este método se basa en adquirir el hash NTLM de una cuenta de servicio, como una cuenta de computadora, para falsificar un ticket de Servicio de Concesión de Tickets (TGS). Con este ticket falsificado, un atacante puede acceder a servicios específicos en la red, suplantando a cualquier usuario, generalmente con el objetivo de obtener privilegios administrativos. Se enfatiza que el uso de claves AES para falsificar tickets es más seguro y menos detectable.
Para la creación de tickets, se emplean diferentes herramientas según el sistema operativo:
El servicio CIFS se destaca como un objetivo común para acceder al sistema de archivos de la víctima, pero otros servicios como HOST y RPCSS también pueden ser explotados para tareas y consultas WMI.
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
Dependiendo del SO también:
WSMAN
RPCSS
WinRM
HOST
HTTP
En algunas ocasiones solo puedes pedir: WINRM
Tareas Programadas
HOST
Compartición de Archivos de Windows, también psexec
CIFS
Operaciones LDAP, incluido DCSync
LDAP
Herramientas de Administración de Servidores Remotos de Windows
RPCSS
LDAP
CIFS
Golden Tickets
krbtgt
Usando Rubeus puedes pedir todos estos tickets usando el parámetro:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Inicio de Sesión de Cuenta
4634: Cierre de Sesión de Cuenta
4672: Inicio de Sesión de Administrador
En los siguientes ejemplos imaginemos que el ticket se recupera suplantando la cuenta de administrador.
Con este ticket podrás acceder a la carpeta C$
y ADMIN$
a través de SMB (si están expuestas) y copiar archivos a una parte del sistema de archivos remoto solo haciendo algo como:
También podrás obtener un shell dentro del host o ejecutar comandos arbitrarios usando psexec:
PsExec/Winexec/ScExecCon este permiso puedes generar tareas programadas en computadoras remotas y ejecutar comandos arbitrarios:
Con estos tickets puedes ejecutar WMI en el sistema de la víctima:
Encuentra más información sobre wmiexec en la siguiente página:
WmiExecCon acceso winrm a una computadora puedes acceder a ella e incluso obtener un PowerShell:
Consulta la siguiente página para aprender más formas de conectarte con un host remoto usando winrm:
WinRMTen en cuenta que winrm debe estar activo y escuchando en la computadora remota para acceder a ella.
Con este privilegio puedes volcar la base de datos del DC usando DCSync:
Aprende más sobre DCSync en la siguiente página:
Consejo de recompensas por errores: regístrate en Intigriti, una plataforma de recompensas por errores premium creada por hackers, para hackers! Únete a nosotros en https://go.intigriti.com/hacktricks hoy, y comienza a ganar recompensas de hasta $100,000!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)