Silver Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Atak Silver Ticket polega na wykorzystaniu biletów serwisowych w środowiskach Active Directory (AD). Metoda ta opiera się na zdobyciu hasha NTLM konta serwisowego, takiego jak konto komputera, aby sfałszować bilet usługi przyznawania biletów (TGS). Dzięki temu sfałszowanemu biletowi, atakujący może uzyskać dostęp do określonych usług w sieci, podszywając się pod dowolnego użytkownika, zazwyczaj dążąc do uzyskania uprawnień administracyjnych. Podkreśla się, że użycie kluczy AES do fałszowania biletów jest bardziej bezpieczne i mniej wykrywalne.
Do tworzenia biletów stosuje się różne narzędzia w zależności od systemu operacyjnego:
The CIFS service is highlighted as a common target for accessing the victim's file system, but other services like HOST and RPCSS can also be exploited for tasks and WMI queries.
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
W zależności od systemu operacyjnego również:
WSMAN
RPCSS
WinRM
HOST
HTTP
W niektórych przypadkach możesz po prostu poprosić o: WINRM
Zaplanowane zadania
HOST
Udostępnianie plików Windows, także psexec
CIFS
Operacje LDAP, w tym DCSync
LDAP
Narzędzia do zdalnej administracji serwerów Windows
RPCSS
LDAP
CIFS
Złote bilety
krbtgt
Using Rubeus you may ask for all these tickets using the parameter:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Logowanie konta
4634: Wylogowanie konta
4672: Logowanie administratora
In the following examples lets imagine that the ticket is retrieved impersonating the administrator account.
With this ticket you will be able to access the C$
and ADMIN$
folder via SMB (if they are exposed) and copy files to a part of the remote filesystem just doing something like:
Będziesz również w stanie uzyskać powłokę wewnątrz hosta lub wykonać dowolne polecenia za pomocą psexec:
PsExec/Winexec/ScExecDzięki temu uprawnieniu możesz generować zaplanowane zadania na zdalnych komputerach i wykonywać dowolne polecenia:
Dzięki tym biletom możesz wykonać WMI w systemie ofiary:
Znajdź więcej informacji o wmiexec na następującej stronie:
WmiExecDzięki dostępowi winrm do komputera możesz uzyskać do niego dostęp i nawet uruchomić PowerShell:
Sprawdź następującą stronę, aby dowiedzieć się więcej sposobów na połączenie z zdalnym hostem za pomocą winrm:
WinRMZauważ, że winrm musi być aktywne i nasłuchujące na zdalnym komputerze, aby uzyskać do niego dostęp.
Dzięki temu uprawnieniu możesz zrzucić bazę danych DC za pomocą DCSync:
Dowiedz się więcej o DCSync na następującej stronie:
Wskazówka dotycząca bug bounty: zarejestruj się w Intigriti, premium platformie bug bounty stworzonej przez hackerów, dla hackerów! Dołącz do nas na https://go.intigriti.com/hacktricks już dziś i zacznij zarabiać nagrody do 100 000 USD!
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)