अपने हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।
सोने का टिकट
एक सोने का टिकट हमला एक वैध टिकट ग्रांटिंग टिकट (TGT) का निर्माण है जो किसी भी उपयोगकर्ता का अनुकरण करते हुएएक्टिव डायरेक्टरी (AD) krbtgt खाते के NTLM हैश का उपयोग करके। यह तकनीक विशेष रूप से फायदेमंद है क्योंकि यह डोमेन के भीतर किसी भी सेवा या मशीन तक पहुंचने की सुविधा प्रदान करता है जैसे कि अनुकृत उपयोगकर्ता। यह याद रखना महत्वपूर्ण है कि krbtgt खाते के क्रेडेंशियल्स स्वचालित रूप से अपडेट नहीं होते हैं।
krbtgt खाते का NTLM हैश प्राप्त करने के लिए विभिन्न तरीके अपनाए जा सकते हैं। इसे लोकल सुरक्षा प्राधिकरण उपस्थिति सेवा (LSASS) प्रक्रिया से निकाला जा सकता है या डोमेन के किसी भी डोमेन कंट्रोलर (DC) पर स्थित NT निर्देशिका सेवाएं (NTDS.dit) फ़ाइल से। इसके अतिरिक्त, DCsync हमला चलाना इस NTLM हैश को प्राप्त करने के लिए एक और रणनीति है, जिसे Mimikatz में lsadump::dcsync मॉड्यूल या Impacket द्वारा secretsdump.py स्क्रिप्ट का उपयोग करके किया जा सकता है। इसे ध्यान में रखना महत्वपूर्ण है कि इन ऑपरेशनों को आगे बढ़ाने के लिए डोमेन व्यवस्थापक विशेषाधिकार या एक समान स्तर की पहुंच आम तौर पर आवश्यक होती है।
हालांकि NTLM हैश इस उद्देश्य के लिए एक व्यावहारिक विधि के रूप में काम करता है, इसे सुरक्षा कारणों के लिए उन्नत एन्क्रिप्शन मानक (AES) केरबेरोस कुंजियों (AES128 और AES256) का उपयोग करके टिकट जाली बनाने की सलाह दी जाती है।
#mimikatzkerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt/ticket:ticket.kirbiklist#List tickets in memory# Example using aes keykerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi
एक बार जब आपके पास गोल्डन टिकट इन्जेक्ट हो जाए, तो आप साझा फ़ाइलों (C$) तक पहुँच सकते हैं, और सेवाएं और WMI को निष्पादित कर सकते हैं, इसलिए आप psexec या wmiexec का उपयोग करके शैल प्राप्त कर सकते हैं (ऐसा लगता है कि आप विनर्म के माध्यम से शैल प्राप्त नहीं कर सकते).
सामान्य पकड़ों को छलना
गोल्डन टिकट को पकड़ने के सबसे आम तरीके हैं तार पर करबेरोस ट्रैफ़िक की जांच करके। डिफ़ॉल्ट रूप से, मिमीकेट्ज TGT को 10 वर्षों के लिए साइन करता है, जो इसके साथ किए गए आगामी TGS अनुरोधों में विचित्र रूप से प्रकट होगा।
आरंभ ऑफसेट, अवधि और अधिकतम नवीकरणों (सभी मिनट में) को नियंत्रित करने के लिए /startoffset, /endin और /renewmax पैरामीटर का उपयोग करें।
Get-DomainPolicy | select -expand KerberosPolicy
दुर्भाग्य से, TGT का जीवनकाल 4769 में लॉग नहीं किया गया है, इसलिए आप विंडोज इवेंट लॉग्स में इस जानकारी को नहीं पाएंगे। हालांकि, आप कर सकते हैं **4768 के पहले 4769 देखना**। एक TGT के बिना एक TGS का अनुरोध करना संभव नहीं है, और अगर किसी TGT के जारी होने का कोई रिकॉर्ड नहीं है, तो हम यह समझ सकते हैं कि यह ऑफलाइन जाली बनाया गया था।
इस डिटेक्शन को छलने के लिए डायमंड टिकट्स की जाँच करें:
<div data-gb-custom-block data-tag="content-ref" data-url='diamond-ticket.md'>
[diamond-ticket.md](diamond-ticket.md)
</div>
### संशोधन
* 4624: खाता लॉगऑन
* 4672: व्यवस्थापक लॉगऑन
* `Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property`
रक्षकों के लिए अन्य छोटे तरीके यह हैं कि **4769 के लिए संवेदनशील उपयोगकर्ताओं पर चेतावनी दी जाए** जैसे कि डिफ़ॉल्ट डोमेन प्रशासक खाता।
## संदर्भ
* [https://www.tarlogic.com/blog/how-to-attack-kerberos/](https://www.tarlogic.com/blog/how-to-attack-kerberos/)
* [https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)