Golden Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bir Golden Ticket saldırısı, NTLM hash'ini kullanarak herhangi bir kullanıcıyı taklit eden meşru bir Ticket Granting Ticket (TGT) oluşturulmasından oluşur. Bu teknik, taklit edilen kullanıcı olarak alan içindeki herhangi bir hizmete veya makineye erişim sağlar. krbtgt hesabının kimlik bilgileri asla otomatik olarak güncellenmez olduğunu hatırlamak önemlidir.
krbtgt hesabının NTLM hash'ini elde etmek için çeşitli yöntemler kullanılabilir. Bu hash, alan içindeki herhangi bir Domain Controller (DC) üzerindeki Local Security Authority Subsystem Service (LSASS) sürecinden veya NT Directory Services (NTDS.dit) dosyasından çıkarılabilir. Ayrıca, DCsync saldırısı gerçekleştirmek, bu NTLM hash'ini elde etmenin bir başka stratejisidir; bu, Mimikatz'taki lsadump::dcsync modülü veya Impacket tarafından sağlanan secretsdump.py scripti gibi araçlar kullanılarak yapılabilir. Bu işlemleri gerçekleştirmek için genellikle alan yöneticisi ayrıcalıkları veya benzer bir erişim seviyesi gereklidir.
NTLM hash'i bu amaç için geçerli bir yöntem olsa da, operasyonel güvenlik nedenleriyle Gelişmiş Şifreleme Standardı (AES) Kerberos anahtarları (AES128 ve AES256) kullanarak biletlerin sahte olarak oluşturulması şiddetle tavsiye edilir.
Bir kez golden Ticket enjekte edildiğinde, paylaşılan dosyalara (C$) erişebilir ve hizmetleri ve WMI'yi çalıştırabilirsiniz, bu nedenle bir shell elde etmek için psexec veya wmiexec kullanabilirsiniz (winrm üzerinden bir shell elde edemediğiniz görünüyor).
Golden ticket'ı tespit etmenin en yaygın yolları, Kerberos trafiğini incelemektir. Varsayılan olarak, Mimikatz TGT'yi 10 yıl boyunca imzalar, bu da onunla yapılan sonraki TGS isteklerinde anormal olarak öne çıkacaktır.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Başlangıç ofsetini, süreyi ve maksimum yenilemeleri kontrol etmek için /startoffset
, /endin
ve /renewmax
parametrelerini kullanın (hepsi dakikalar cinsindendir).
Üzgünüm, TGT'nin ömrü 4769'da kaydedilmediği için bu bilgiyi Windows olay günlüklerinde bulamazsınız. Ancak, önceki 4768 olmadan 4769'ları görmek ile ilişkilendirebilirsiniz. TGT olmadan bir TGS talep etmek mümkün değildir ve eğer bir TGT'nin verildiğine dair bir kayıt yoksa, bunun çevrimdışı olarak sahte olduğunu çıkarabiliriz.
Bu algılama kontrolünü bypass etmek için elmas biletleri kontrol edin:
4624: Hesap Girişi
4672: Yönetici Girişi
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Savunucuların yapabileceği diğer küçük numaralar, varsayılan etki alanı yöneticisi hesabı gibi hassas kullanıcılar için 4769'lar üzerinde uyarı vermektir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)