Golden Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Atak Golden Ticket polega na tworzeniu legalnego Ticket Granting Ticket (TGT) podszywając się pod dowolnego użytkownika za pomocą hasła NTLM konta krbtgt w Active Directory (AD). Technika ta jest szczególnie korzystna, ponieważ umożliwia dostęp do dowolnej usługi lub maszyny w obrębie domeny jako podszywający się użytkownik. Ważne jest, aby pamiętać, że poświadczenia konta krbtgt nigdy nie są automatycznie aktualizowane.
Aby zdobyć hasło NTLM konta krbtgt, można zastosować różne metody. Może być ono wyodrębnione z procesu Local Security Authority Subsystem Service (LSASS) lub z pliku NT Directory Services (NTDS.dit) znajdującego się na dowolnym kontrolerze domeny (DC) w obrębie domeny. Ponadto, wykonanie ataku DCsync jest inną strategią uzyskania tego hasła NTLM, co można przeprowadzić za pomocą narzędzi takich jak moduł lsadump::dcsync w Mimikatz lub skrypt secretsdump.py od Impacket. Ważne jest, aby podkreślić, że do przeprowadzenia tych operacji zazwyczaj wymagane są uprawnienia administratora domeny lub podobny poziom dostępu.
Chociaż hasło NTLM jest wykonalną metodą w tym celu, zdecydowanie zaleca się fałszowanie biletów za pomocą kluczy Kerberos Advanced Encryption Standard (AES) (AES128 i AES256) z powodów bezpieczeństwa operacyjnego.
Gdy masz wstrzyknięty złoty bilet, możesz uzyskać dostęp do wspólnych plików (C$) oraz wykonywać usługi i WMI, więc możesz użyć psexec lub wmiexec, aby uzyskać powłokę (wygląda na to, że nie możesz uzyskać powłoki przez winrm).
Najczęstsze sposoby wykrywania złotego biletu to inspekcja ruchu Kerberos w sieci. Domyślnie Mimikatz podpisuje TGT na 10 lat, co wyróżnia się jako anomalia w kolejnych żądaniach TGS z nim związanych.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Użyj parametrów /startoffset
, /endin
i /renewmax
, aby kontrolować przesunięcie startowe, czas trwania i maksymalne odnowienia (wszystko w minutach).
Niestety, czas życia TGT nie jest rejestrowany w 4769, więc nie znajdziesz tych informacji w dziennikach zdarzeń systemu Windows. Jednak to, co możesz skorelować, to widzenie 4769 bez wcześniejszego 4768. Nie jest możliwe zażądanie TGS bez TGT, a jeśli nie ma zapisu o wydaniu TGT, możemy wnioskować, że został on sfałszowany offline.
Aby obejść to wykrycie, sprawdź bilety diamentowe:
Diamond Ticket4624: Logowanie konta
4672: Logowanie administratora
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Inne małe sztuczki, które mogą zastosować obrońcy, to powiadamianie o 4769 dla wrażliwych użytkowników, takich jak domyślne konto administratora domeny.
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)