Entrades Kerberos - Bitllet Plata
Compartir
Continuant amb els lliuraments de Tickets de Kerberos, a publicacions passades hem parlat sobre el Golden Ticket, en aquesta ocasió estarem parlant del Silver Ticket.
BILLET DE PLATA
L'atac Silver Ticket implica la creació d'un Ticket Granting Service (TGS), que permet als atacants obtenir accés a un servei específic en un entorn d'Active Directory sense necessitat d'autenticar-se a través del controlador de domini (Key Distribution Center, KDC ).
Aquest mètode es basa en adquirir el hash NTLM o contrasenya d'un compte de servei per falsificar un Ticket Granting Service (TGS). Aquestes credencials es poden obtenir de diferents maneres durant l'atac al Domini, com per exemple mitjançant eines com Respondre o mitjançant tècniques de Kerberoasting. Després de crear aquest tiquet falsificat, un atacant pot accedir al servei específic, fent-se passar per qualsevol usuari i, en general, amb l'objectiu d'obtenir privilegis administratius.
Si en lloc d'obtenir les credencials en text clar o hash NTLM, es poguessin obtenir les claus AES (per exemple, mitjançant un bolcat de memòria), es recomana utilitzar aquestes claus AES per a la creació dels tiquets, ja que és una manera més segura i menys detectable.
Explotació:
En primer lloc, assumirem que hem obtingut una sessió com a SYSTEM en una màquina del domini. Això, per exemple, ha pogut passar després de comprometre un servidor IIS i una posterior escalada de privilegis fent ús d'un Potato exploit.
Després d'obtenir el control del servidor, podem obtenir les claus de Kerberos amb mimikatz i l'ordre sekurlsa::ekeys
Creació del tiquet
- Service: Nom del servei al qual se sol·licitarà el tiquet
- Aes256: Clau aes256 del compte de màquina extret anteriorment
- User: Usuari a impersonalitzar, en aquest cas un Domain Admin
- Domain: Nom del domini
- Sid: SID del domini
Importar el tiquet
- Program: Comanda a executar on s'injectarà el tiquet
- Domain: Nom del domini
- Username: Usuari del domini
- Password: Contrasenya de l'usuari. No cal que conegueu la contrasenya real de l'usuari.
- Tiquet: El tiquet creat anteriorment