Silver Ticket
Last updated
Last updated
Astuce de prime de bug : inscrivez-vous à Intigriti, une plateforme de prime de bug premium créée par des pirates informatiques, pour des pirates informatiques ! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui et commencez à gagner des primes allant jusqu'à 100 000 $ !
L'attaque du Billet Silver implique l'exploitation des tickets de service dans les environnements Active Directory (AD). Cette méthode repose sur l'acquisition du hachage NTLM d'un compte de service, tel qu'un compte d'ordinateur, pour falsifier un ticket de Service de Billetterie (TGS). Avec ce ticket falsifié, un attaquant peut accéder à des services spécifiques sur le réseau, en se faisant passer pour n'importe quel utilisateur, visant généralement les privilèges administratifs. Il est souligné que l'utilisation de clés AES pour falsifier des tickets est plus sécurisée et moins détectable.
Pour la création de tickets, différents outils sont utilisés en fonction du système d'exploitation :
Le service CIFS est mis en avant comme une cible courante pour accéder au système de fichiers de la victime, mais d'autres services comme HOST et RPCSS peuvent également être exploités pour des tâches et des requêtes WMI.
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
En fonction du système d'exploitation également :
WSMAN
RPCSS
WinRM
HOST
HTTP
Dans certains cas, vous pouvez simplement demander : WINRM
Tâches Planifiées
HOST
Partage de Fichiers Windows, également psexec
CIFS
Opérations LDAP, incluant DCSync
LDAP
Outils d'Administration de Serveur à Distance Windows
RPCSS
LDAP
CIFS
Tickets d'Or
krbtgt
En utilisant Rubeus, vous pouvez demander tous ces tickets en utilisant le paramètre :
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Connexion de Compte
4634: Déconnexion de Compte
4672: Connexion Administrateur
Dans les exemples suivants, imaginons que le ticket soit récupéré en se faisant passer pour le compte administrateur.
Avec ce ticket, vous pourrez accéder aux dossiers C$
et ADMIN$
via SMB (s'ils sont exposés) et copier des fichiers vers une partie du système de fichiers distant en faisant simplement quelque chose comme :
Avec cette autorisation, vous pouvez générer des tâches planifiées sur des ordinateurs distants et exécuter des commandes arbitraires:
Avec ces tickets, vous pouvez exécuter WMI dans le système de la victime:
Avec l'accès winrm sur un ordinateur, vous pouvez y accéder et même obtenir un PowerShell:
Consultez la page suivante pour en savoir plus sur les autres façons de se connecter à un hôte distant en utilisant winrm:
WinRMNotez que winrm doit être actif et en écoute sur l'ordinateur distant pour y accéder.
Avec ce privilège, vous pouvez vider la base de données du DC en utilisant DCSync:
En savoir plus sur DCSync sur la page suivante :
Conseil de prime de bug : inscrivez-vous sur Intigriti, une plateforme de prime de bug premium créée par des hackers, pour des hackers ! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $ !