Silver Ticket
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Silver ticket
Атака Silver Ticket передбачає експлуатацію сервісних квитків в середовищах Active Directory (AD). Цей метод ґрунтується на отриманні NTLM хешу облікового запису сервісу, такого як обліковий запис комп'ютера, для підробки квитка служби надання квитків (TGS). З цим підробленим квитком зловмисник може отримати доступ до конкретних сервісів в мережі, вдаючи з себе будь-якого користувача, зазвичай намагаючись отримати адміністративні привілеї. Підкреслюється, що використання AES ключів для підробки квитків є більш безпечним і менш помітним.
Для створення квитків використовуються різні інструменти в залежності від операційної системи:
On Linux
На Windows
CIFS-сервіс виділяється як загальна ціль для доступу до файлової системи жертви, але інші сервіси, такі як HOST і RPCSS, також можуть бути використані для завдань і запитів WMI.
Доступні сервіси
WMI
HOST
RPCSS
PowerShell Remoting
HOST
HTTP
Залежно від ОС також:
WSMAN
RPCSS
WinRM
HOST
HTTP
В деяких випадках ви можете просто запитати: WINRM
Заплановані завдання
HOST
Спільний доступ до файлів Windows, також psexec
CIFS
Операції LDAP, включаючи DCSync
LDAP
Інструменти адміністрування віддалених серверів Windows
RPCSS
LDAP
CIFS
Золоті квитки
krbtgt
Використовуючи Rubeus, ви можете запитати всі ці квитки, використовуючи параметр:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
Ідентифікатори подій срібних квитків
4624: Вхід облікового запису
4634: Вихід облікового запису
4672: Вхід адміністратора
Зловживання сервісними квитками
У наступних прикладах уявімо, що квиток отримано, підробляючи обліковий запис адміністратора.
CIFS
З цим квитком ви зможете отримати доступ до папок C$
і ADMIN$
через SMB (якщо вони відкриті) і копіювати файли в частину віддаленої файлової системи, просто зробивши щось на зразок:
Ви також зможете отримати оболонку всередині хоста або виконати довільні команди, використовуючи psexec:
PsExec/Winexec/ScExecХОСТ
З цією дозволом ви можете створювати заплановані завдання на віддалених комп'ютерах і виконувати довільні команди:
HOST + RPCSS
З цими квитками ви можете виконати WMI в системі жертви:
Знайдіть додаткову інформацію про wmiexec на наступній сторінці:
WmiExecHOST + WSMAN (WINRM)
З доступом winrm до комп'ютера ви можете отримати доступ до нього і навіть отримати PowerShell:
Перевірте наступну сторінку, щоб дізнатися більше способів підключення до віддаленого хоста за допомогою winrm:
WinRMЗверніть увагу, що winrm має бути активним і слухати на віддаленому комп'ютері для доступу до нього.
LDAP
З цією привілеєю ви можете скинути базу даних DC, використовуючи DCSync:
Дізнайтеся більше про DCSync на наступній сторінці:
Посилання
Порада з баг-баунті: зареєструйтеся на Intigriti, преміум платформі для баг-баунті, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated