Silver Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
O ataque Silver Ticket envolve a exploração de tickets de serviço em ambientes do Active Directory (AD). Este método depende de adquirir o hash NTLM de uma conta de serviço, como uma conta de computador, para forjar um ticket de Serviço de Concessão de Ticket (TGS). Com este ticket forjado, um atacante pode acessar serviços específicos na rede, impersonando qualquer usuário, geralmente visando privilégios administrativos. É enfatizado que usar chaves AES para forjar tickets é mais seguro e menos detectável.
Para a criação de tickets, diferentes ferramentas são empregadas com base no sistema operacional:
O serviço CIFS é destacado como um alvo comum para acessar o sistema de arquivos da vítima, mas outros serviços como HOST e RPCSS também podem ser explorados para tarefas e consultas WMI.
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
Dependendo do SO também:
WSMAN
RPCSS
WinRM
HOST
HTTP
Em algumas ocasiões você pode apenas pedir: WINRM
Tarefas Agendadas
HOST
Compartilhamento de Arquivos do Windows, também psexec
CIFS
Operações LDAP, incluindo DCSync
LDAP
Ferramentas de Administração de Servidor Remoto do Windows
RPCSS
LDAP
CIFS
Golden Tickets
krbtgt
Usando Rubeus você pode pedir todos esses tickets usando o parâmetro:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Logon de Conta
4634: Logoff de Conta
4672: Logon de Admin
Nos exemplos a seguir, vamos imaginar que o ticket é recuperado impersonando a conta de administrador.
Com este ticket, você poderá acessar a pasta C$
e ADMIN$
via SMB (se estiverem expostas) e copiar arquivos para uma parte do sistema de arquivos remoto apenas fazendo algo como:
Você também poderá obter um shell dentro do host ou executar comandos arbitrários usando psexec:
PsExec/Winexec/ScExecCom essa permissão, você pode gerar tarefas agendadas em computadores remotos e executar comandos arbitrários:
Com esses tickets, você pode executar WMI no sistema da vítima:
Encontre mais informações sobre wmiexec na seguinte página:
WmiExecCom acesso winrm a um computador, você pode acessá-lo e até obter um PowerShell:
Verifique a página a seguir para aprender mais maneiras de se conectar a um host remoto usando winrm:
WinRMObserve que winrm deve estar ativo e ouvindo no computador remoto para acessá-lo.
Com esse privilégio, você pode despejar o banco de dados do DC usando DCSync:
Saiba mais sobre DCSync na página a seguir:
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)