Silver Ticket
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Атака Silver Ticket передбачає експлуатацію сервісних квитків в середовищах Active Directory (AD). Цей метод базується на отриманні NTLM хешу облікового запису сервісу, такого як обліковий запис комп'ютера, для підробки квитка служби надання квитків (TGS). З цим підробленим квитком зловмисник може отримати доступ до конкретних сервісів в мережі, вдаючи з себе будь-якого користувача, зазвичай намагаючись отримати адміністративні привілеї. Підкреслюється, що використання AES ключів для підробки квитків є більш безпечним і менш помітним.
Для створення квитків використовуються різні інструменти в залежності від операційної системи:
CIFS-сервіс виділяється як загальна ціль для доступу до файлової системи жертви, але інші сервіси, такі як HOST і RPCSS, також можуть бути використані для завдань і запитів WMI.
Тип сервісу | Сервісні срібні квитки |
---|---|
WMI | HOST RPCSS |
PowerShell Remoting | HOST HTTP В залежності від ОС також: WSMAN RPCSS |
WinRM | HOST HTTP В деяких випадках ви можете просто запитати: WINRM |
Заплановані завдання | HOST |
Спільний доступ до файлів Windows, також psexec | CIFS |
Операції LDAP, включаючи DCSync | LDAP |
Інструменти адміністрування віддалених серверів Windows | RPCSS LDAP CIFS |
Золоті квитки | krbtgt |
Використовуючи Rubeus, ви можете запитати всі ці квитки, використовуючи параметр:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
4624: Увійшов до облікового запису
4634: Вийшов з облікового запису
4672: Увійшов адміністратор
У наступних прикладах уявімо, що квиток отримано, підробляючи обліковий запис адміністратора.
З цим квитком ви зможете отримати доступ до папок C$
і ADMIN$
через SMB (якщо вони відкриті) і копіювати файли в частину віддаленої файлової системи, просто зробивши щось на зразок:
Ви також зможете отримати оболонку всередині хоста або виконати довільні команди, використовуючи psexec:
PsExec/Winexec/ScExecЗ цією дозволом ви можете створювати заплановані завдання на віддалених комп'ютерах і виконувати довільні команди:
З цими квитками ви можете виконати WMI в системі жертви:
Знайдіть додаткову інформацію про wmiexec на наступній сторінці:
WmiExecЗ доступом winrm до комп'ютера ви можете отримати доступ до нього і навіть отримати PowerShell:
Перевірте наступну сторінку, щоб дізнатися більше способів підключення до віддаленого хоста за допомогою winrm:
WinRMЗверніть увагу, що winrm має бути активним і слухати на віддаленому комп'ютері для доступу до нього.
З цією привілеєю ви можете скинути базу даних DC, використовуючи DCSync:
Дізнайтеся більше про DCSync на наступній сторінці:
Порада для баг-баунті: зареєструйтеся на Intigriti, преміум платформі для баг-баунті, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні та почніть заробляти винагороди до $100,000!
Дізнайтеся та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Дізнайтеся та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)