Silver Ticket
Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!
Silver ticket
O ataque Silver Ticket envolve a exploração de tickets de serviço em ambientes Active Directory (AD). Este método depende de adquirir o hash NTLM de uma conta de serviço, como uma conta de computador, para forjar um ticket de Serviço de Concessão de Ticket (TGS). Com este ticket forjado, um atacante pode acessar serviços específicos na rede, impersonando qualquer usuário, geralmente visando privilégios administrativos. É enfatizado que usar chaves AES para forjar tickets é mais seguro e menos detectável.
Para a criação de tickets, diferentes ferramentas são empregadas com base no sistema operacional:
On Linux
No Windows
O serviço CIFS é destacado como um alvo comum para acessar o sistema de arquivos da vítima, mas outros serviços como HOST e RPCSS também podem ser explorados para tarefas e consultas WMI.
Serviços Disponíveis
Tipo de Serviço | Serviços Silver Tickets |
---|---|
WMI | HOST RPCSS |
PowerShell Remoting | HOST HTTP Dependendo do SO também: WSMAN RPCSS |
WinRM | HOST HTTP Em algumas ocasiões você pode apenas pedir: WINRM |
Tarefas Agendadas | HOST |
Compartilhamento de Arquivos do Windows, também psexec | CIFS |
Operações LDAP, incluindo DCSync | LDAP |
Ferramentas de Administração de Servidor Remoto do Windows | RPCSS LDAP CIFS |
Golden Tickets | krbtgt |
Usando Rubeus você pode pedir todos esses tickets usando o parâmetro:
/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm
IDs de Evento de Silver Tickets
4624: Logon de Conta
4634: Logoff de Conta
4672: Logon de Admin
Abusando de Tickets de Serviço
Nos exemplos a seguir, vamos imaginar que o ticket é recuperado impersonando a conta de administrador.
CIFS
Com este ticket, você poderá acessar a pasta C$
e ADMIN$
via SMB (se estiverem expostas) e copiar arquivos para uma parte do sistema de arquivos remoto apenas fazendo algo como:
Você também poderá obter um shell dentro do host ou executar comandos arbitrários usando psexec:
PsExec/Winexec/ScExecHOST
Com essa permissão, você pode gerar tarefas agendadas em computadores remotos e executar comandos arbitrários:
HOST + RPCSS
Com esses tickets, você pode executar WMI no sistema da vítima:
Encontre mais informações sobre wmiexec na seguinte página:
WmiExecHOST + WSMAN (WINRM)
Com acesso winrm a um computador, você pode acessá-lo e até obter um PowerShell:
Verifique a página a seguir para aprender mais maneiras de se conectar a um host remoto usando winrm:
WinRMObserve que winrm deve estar ativo e ouvindo no computador remoto para acessá-lo.
LDAP
Com esse privilégio, você pode despejar o banco de dados do DC usando DCSync:
Saiba mais sobre DCSync na página a seguir:
Referências
Dica de bug bounty: inscreva-se no Intigriti, uma plataforma premium de bug bounty criada por hackers, para hackers! Junte-se a nós em https://go.intigriti.com/hacktricks hoje e comece a ganhar recompensas de até $100,000!
Last updated