Okunması gereken yazılar:
krbtgt, Key Distribution Center (KDC)’e ait servis hesabıdır. Bu hesap varsayılan olarak gelmektedir ve silinememektedir. krbtgt, TGT biletlerini vermekten sorumludur.
Saldırgan krbtgt hesabına ait NTLM hash’ini kullanarak TGT bileti oluşturup Active Directory üzerinde bulunan bütün servislere/makinelere erişim sağlayabilmektedir.
krbtgt hesabının NTLM hash’ini lsass process’inden, Domain Controller içerisindeki NTDS.dit dosyasından veya DCSync saldırısı ile öğrenilebilmektedir.
NTDS.dit dosyasından parola hash’lerinin nasıl elde edilebileceğini buradan inceleyebilirsiniz. Ayrıca DCSync tekniğine ait bilgilere buradan ulaşabilirsiniz.
Mimikatz ile krbtgt hesabına ait NTLM hash’ini elde etmek için:
mimikatz# privilege::debug
Mimikatz# lsadump::lsa /inject /name:krbtgt
Golden Ticket’ı oluşturabilmek için “Domain Name” ve “Domain SID” bilgileri gerekmektedir. Mimikatz üzerinden krbtgt hesabının NTLM hash’ini aldığımızda Mimikatz bu bilgileri bize vermekte, ayrıca komut satırı üzerinden bu bilgileri kolaylıkla öğrenebiliriz.
whomi /user
Gerekli bütün bilgileri elde ettiğimizde Mimikatz ile Golden Ticket’ı oluşturabiliriz.
mimikatz# kerberos::golden /user:evil /domain:pentest.local /sid:S-1-5-21-434157810-3574284310-2996746512-500 /krbtgt:0db846b4308214674bf6801ffc253efa /ticket:evil.tck /ptt
Saldırının gerçekleştiğini Mimikatz üzerinden doğrulayabiliriz.
mimikatz# kerberos::tgt
komutu ile anlık olarak kullanılan TGT ticket’ını öğrenebiliriz.
[…] bu blog yazılarından alınmadır ;Silver Ticket : https://umuttosun.com/?p=230 Golden Ticket : https://umuttosun.com/?p=232 Pass the Ticket : https://umuttosun.com/?p=217 Overpass the Hash : […]