Golden Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bir Golden Ticket saldırısı, herhangi bir kullanıcıyı taklit ederek meşru bir Ticket Granting Ticket (TGT) oluşturulması ile ilgilidir ve bu işlem Active Directory (AD) krbtgt hesabının NTLM hash'ini kullanarak gerçekleştirilir. Bu teknik, taklit edilen kullanıcı olarak alan içindeki herhangi bir hizmete veya makineye erişim sağlar. Krbtgt hesabının kimlik bilgileri asla otomatik olarak güncellenmez olduğunu hatırlamak önemlidir.
Krbtgt hesabının NTLM hash'ini elde etmek için çeşitli yöntemler kullanılabilir. Bu hash, Yerel Güvenlik Otoritesi Alt Sistem Servisi (LSASS) sürecinden veya alan içindeki herhangi bir Alan Denetleyicisi (DC) üzerinde bulunan NT Directory Services (NTDS.dit) dosyasından çıkarılabilir. Ayrıca, DCsync saldırısı gerçekleştirmek, bu NTLM hash'ini elde etmenin bir başka stratejisidir ve bu işlem, Mimikatz'taki lsadump::dcsync modülü veya Impacket tarafından sağlanan secretsdump.py scripti gibi araçlar kullanılarak yapılabilir. Bu işlemleri gerçekleştirmek için genellikle alan yöneticisi ayrıcalıkları veya benzer bir erişim seviyesi gereklidir.
NTLM hash'i bu amaç için geçerli bir yöntem olsa da, operasyonel güvenlik nedenleriyle Gelişmiş Şifreleme Standardı (AES) Kerberos anahtarları (AES128 ve AES256) kullanarak biletlerin sahte belgelenmesi şiddetle önerilir.
Bir kez golden Ticket enjekte edildiğinde, paylaşılan dosyalara (C$) erişebilir ve hizmetleri ve WMI'yi çalıştırabilirsiniz, bu nedenle bir shell elde etmek için psexec veya wmiexec kullanabilirsiniz (winrm üzerinden bir shell elde edemediğiniz görünüyor).
Golden ticket'ı tespit etmenin en yaygın yolları, Kerberos trafiğini incelemektir. Varsayılan olarak, Mimikatz TGT'yi 10 yıl boyunca imzalar, bu da onunla yapılan sonraki TGS isteklerinde anormal olarak öne çıkacaktır.
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
Başlangıç ofsetini, süreyi ve maksimum yenilemeleri kontrol etmek için /startoffset
, /endin
ve /renewmax
parametrelerini kullanın (hepsi dakikalar cinsindendir).
Üzgünüm, TGT'nin ömrü 4769'da kaydedilmediği için bu bilgiyi Windows olay günlüklerinde bulamazsınız. Ancak, önceki 4768 olmadan 4769 görmek ile ilişkilendirebilirsiniz. TGT olmadan bir TGS talep etmek mümkün değildir ve eğer bir TGT'nin verildiğine dair bir kayıt yoksa, bunun çevrimdışı olarak sahte olduğunu çıkarabiliriz.
Bu algılama aşamasını bypass etmek için elmas biletlerini kontrol edin:
Diamond Ticket4624: Hesap Girişi
4672: Yönetici Girişi
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
Savunucuların yapabileceği diğer küçük numaralar, varsayılan etki alanı yöneticisi hesabı gibi hassas kullanıcılar için 4769'da uyarı vermektir.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)