Golden Ticket
Last updated
Last updated
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Napad Zlatna karta se sastoji od kreiranja legitimne Karte za dodeljivanje karata (TGT) koja imitira bilo kog korisnika korišćenjem NTLM heša Active Directory (AD) krbtgt naloga. Ova tehnika je posebno korisna jer omogućava pristup bilo kojoj usluzi ili mašini unutar domena kao imitiranog korisnika. Ključno je zapamtiti da se akreditivi krbtgt naloga nikada automatski ne ažuriraju.
Da bi se dobio NTLM heš krbtgt naloga, mogu se koristiti različite metode. Može se izvući iz procesa Local Security Authority Subsystem Service (LSASS) ili iz NT Directory Services (NTDS.dit) datoteke koja se nalazi na bilo kom Kontroloru domena (DC) unutar domena. Pored toga, izvođenje DCsync napada je još jedna strategija za dobijanje ovog NTLM heša, koja se može izvesti korišćenjem alata kao što su lsadump::dcsync modul u Mimikatz ili secretsdump.py skripta od Impacket. Važno je naglasiti da za izvođenje ovih operacija, obično su potrebne privilegije domen admina ili sličan nivo pristupa.
Iako NTLM heš služi kao izvodljiva metoda za ovu svrhu, snažno se preporučuje da se falsifikuju karte koristeći ključeve za Kerberos sa naprednom enkripcijom (AES) (AES128 i AES256) iz razloga operativne sigurnosti.
Jednom kada imate injektovani zlatni tiket, možete pristupiti deljenim datotekama (C$), i izvršavati usluge i WMI, tako da možete koristiti psexec ili wmiexec da dobijete shell (izgleda da ne možete dobiti shell putem winrm).
Najčešći načini za detekciju zlatnog tiketa su inspekcija Kerberos saobraćaja na mreži. Po defaultu, Mimikatz potpisuje TGT na 10 godina, što će se istaknuti kao anomalija u narednim TGS zahtevima napravljenim sa njim.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Koristite parametre /startoffset
, /endin
i /renewmax
da kontrolišete početni offset, trajanje i maksimalne obnavljanja (sve u minutima).
Nažalost, TGT-ov životni vek nije zabeležen u 4769, tako da ovu informaciju nećete pronaći u Windows dnevnicima događaja. Međutim, ono što možete korelirati je videti 4769 bez prethodnog 4768. Nije moguće zatražiti TGS bez TGT-a, i ako nema zapisa o izdatom TGT-u, možemo zaključiti da je falsifikovan offline.
Da biste zaobišli ovu detekciju, proverite dijamantske karte:
Diamond Ticket4624: Prijava na nalog
4672: Prijava administratora
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Drugi mali trikovi koje odbrambeni timovi mogu primeniti su uzbunjivanje na 4769 za osetljive korisnike kao što je podrazumevani nalog administratora domena.
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)