Active directory tickets

Active directory tickets

Vandaag gaan wij het hebben golden tickets en silver tickets, dit zijn twee verschillende soorten tickets en voor aanvallers toch heel erg interessant. De golden ticket is zoals de naam al zegt de gouden sleutel terwijl de silver ticket de zilvere sleutel is.

Opzetten van een ticket

Voordat ik dieper in ga op de golden ticket zal ik eerst even wat vertellen over hoe een ticket precies tot stand word gebracht. De stappen die gedaan moeten worden om een ticket aan te maken is als volgt:

  1. Aanvragen van een TGT
  2. TGT + sessie sleutel
  3. Aanvragen ticket + Authenticatie
  4. Ticket + sessie sleutel
  5. Aanvragen service + authenticatie
  6. server authenticatie
Configuring Kerberos for Apache — LDAP / SSO Authentication 2.1  documentation

Dit is hoe het in zijn werking gaat op de achtergrond, de afkorting TGT zegt u vrijwel niks. Ik ga dit nu even toelichten, TGT staat voor ticket granting ticket. Dit is een ticket die voor de authenticatie zorgt. Deze TGT word door de key distributie center vrijgegeven.

In een domein is er ook altijd een KRBTGT gebruiker, deze gebruiker tekent en versleuteld alle kerberos tickets. In elk domein is er altijd een KRBTGT gebruiker aanwezig vanaf het begin van het ontstaan van het domein.

Gouden ticket

Een golden ticket is de golden key voor een domein, als een aanvaller een golden ticket kan aanmaken heeft hij volledig toegang tot alle resources in de domein. Dit betekent dus alle computers, bestanden, folders en het meest belangrijke de access control systeem.

Het is belangrijk dat de aanvaller wel de NTLM hash van de KRBTGT gebruiker in zijn inventory heeft want anders gaat deze aanval niet lukken. Met Mimikatz is het vrij makkelijk om een golden ticket te maken.

Voorbeeld commando:

kerberos::golden /user:evil /domain:pentestlab.local /sid:S-1-5-21-3737340914-2019594255-2413685307 /krbtgt:d125e4f69c851529045ec95ca80fa37e
/ticket:evil.tck /ptt

Zoals eerder is beschreven is het belangrijk dat de aanvaller de NTLM hash van de KRBTGT gebruiker heeft, dit kan de aanvaller doen als volgt:

lsadump::dcsync /user:krbtgt

Silver tickets

silver tickets zijn niet zo krachtig als golden tickets maar kunnen alsnog heel handig zijn voor aanvallers. Silver tickets werken net iets anders als golden tickets, een silver ticket geeft de aanvaller namelijk toegang tot een bepaalde service waar hij de ticket voor aanmaakt.

Als er op een computer bijvoorbeeld een MYSQL service draait en de aanvaller maakt een silver ticket voor de MYSQL service dan kan de aanvaller dus van alles doen met deze service. Een silver ticket word ook wel een TGS genoemd of ook wel ticket granting service.

Het werkt hetzelfde als een golden ticket alleen bij een silver ticket word er nog een request gedaan naar de desbtreffende service. Nadat de ticket is aangemaakt heeft de aanvaller volledig toegang tot de service.

SANS Digital Forensics and Incident Response Blog | Kerberos in the  Crosshairs: Golden Tickets, Silver Tickets, MITM, and More | SANS Institute

Zoals hierboven te zien is, in stap 5 word de TGS verstuurd naar de service waarna de service een request terug stuurt (stap 6) en nu is de TGS (ticket granting service) of ook wel zilver ticket aangemaakt.

Wederom met mimikatz is dit makkelijk te doen, namelijk als volgt:

kerberos::golden /user:evil /domain:pentestlab.local /sid:S-1-5-21-3737340914-2019594255-2413685307 /rc4:d125e4f69c851529045ec95ca80fa37e
/target:dc.lab.test.org /service:RPCSS /ptt

Met de commando ‘klist’ kan de aanvaller zien of hij echt een ticket heeft gemaakt, dit ziet er dan als volgt uit:

SilverTicket-adsdc02-klist

Het is belangrijk dat de aanvaller de service account NTLM hash in zijn inventory heeft. Doordat er een ticket granting service word aangemaakt dus geen TGT betekend dit dat de domain controller nooit word benaderd.

Samenvatting

  • Het Kerberos Silver Ticket is een geldig Ticket Granting Service (TGS) Kerberos-ticket, aangezien het is gecodeerd / ondertekend door het service account dat is geconfigureerd met een Service Principal Name voor elke server waarop de Kerberos-authenticatie service draait.
  • Terwijl een Golden-ticket een vervalste TGT is die geldig is om toegang te krijgen tot elke Kerberos-service, is het zilveren ticket een vervalste TGS. Dit betekent dat het Silver Ticket-bereik beperkt is tot de service die op een specifieke server is gericht.
  • Terwijl een Golden-ticket is gecodeerd / ondertekend met het Kerberos-service account (KRBTGT) van het domein, wordt een Silver-ticket gecodeerd / ondertekend door het service account (de inloggegevens van de computeraccount worden opgehaald uit de lokale SAM- of service accountreferentie van de computer).
  • De meeste services valideren de PAC niet (door de PAC-checksum naar de domein controller te sturen voor PAC-validatie), dus een geldige TGS die is gegenereerd met de wachtwoord hash van de service account kan een PAC bevatten die volledig fictief is – zelfs als de gebruiker een domein is Beheer zonder uitdaging of correctie.
  • De aanvaller heeft de wachtwoord hash van het service account nodig
  • TGS is vervalst, dus geen bijbehorende TGT, wat betekent dat er nooit contact wordt opgenomen met de DC.
  • Eventuele gebeurtenis logboeken staan ​​op de beoogde server.
Please share and spread
NederlandsEnglish