Ired.Team Kerberos: Golden Tickets Lab

Overview

Lab này khám phá một cuộc tấn công vào Kerberos Authentication của Active Directory(AD). Chính xác hơn, đây là một cuộc tấn công giả mạo Vé cấp quyền Kerberos (TGT) được sử dụng để xác thực User bằng Kerberos.

TGT được sử dụng khi Ticket Granting Service (TGS), nghĩa là một TGT giả có thể giúp chúng ta có được bất kỳ ticket TGS nào.

Mục tiêu của lab (Lab Goal)

Tạo một Golden Ticket – một Ticket Granting Ticket (TGT) giả mạo – cho phép bạn:

  • Xác thực như bất kỳ người dùng nào trong domain (ví dụ: Administrator).
  • Duy trì quyền truy cập lâu dài vào hệ thống (persistence).
  • Truy cập mọi tài nguyên trong domain (vì TGT có thể yêu cầu TGS cho bất kỳ service nào).

Execution

Bước 1:

Với bước đầu tiên ở đây ta sẽ tiến hành trích xuất NTLM hash của krbtgt accountkrbtgt account là tài khoản hệ thống đặc biệt trong Active Directory, được dùng để ký và mã hóa tất cả TGT. Hash của nó là chìa khóa để tạo Golden Ticket.

Ở máy Domain Controller ta sẽ mở mimikatz và sử dụng lệnh sau:

1
lsadump::lsa /inject /name:krbtgt

image

Sau khi thực hiện lệnh này ta thấy rằng đã có được security id nhưng vẫn chưa có được NTLM hash thay vào đó là lỗi nên ta sẽ tìm cách fix nó.

Ở đây ta sử dụng lệnh này để thay thế lệnh trên:

1
lsadump::dcsync /user:"CN=krbtgt,CN=Users,DC=offense,DC=local"

image

Thành công có được NTLM hash là 5544528fb7b444b5bfe7d176ac6aa587.

Bước 2:

Bây giờ sau khi đã có NTLM hash bây giờ ta chuyển sang máy attacker cụ thể là máy RED.offense để thực hiện khai thác bây giờ ta sẽ thực hiện tạo một Golden Ticket có khả năng tự động inject vào trong login session hiện tại ở đây ta dùng lệnh sau: 

1
mimikatz # kerberos::golden /domain:offense.local /sid:S-1-5-21-3710096372-560042618-2387674259 /rc4:5544528fb7b444b5bfe7d176ac6aa587 /user:newAdmin /id:500 /ptt

image

Thành công tạo ra được Golden Ticket với user mới của ta là newAdmin bây giờ ta thử dùng klist để kiểm tra xem nó đã nạp user mới đúng chưa.

image

Thành công inject account vào session hiện tại ở đây thấy mấy cái dưới nữa là do thấy bấm không được nên spam mấy lần :v nhưng không sao thấy kết quả đúng là được rồi.

Bước 3:

Tới bước cuối ta sẽ test thử xem liệu Golden Ticket sau khi giúp ta tạo acc mới thì có dùng được không, bây giờ ta sẽ thử mở một powershell mới với quyền hạn thấp thì xem thử có mount được qua máy dc.mantvydas không.

image

Không được rồi bây giờ với session đã được inject golden ticket thì sao ta sẽ test xem thử như nào.

image

Thành công ánh xạ đến ổ C của dc-mantvydas qua red.offense ở đây lý do nó có đường dẫn là ổ Z thì tại vì Windows không cho phép bạn cd trực tiếp vào đường dẫn mạng như \server\share, nên nó ánh xạ (map) đường dẫn đó thành một ổ đĩa ảo ở đây ta thấy là Z và ta đã thành công mount.

Thành công kết thúc lab Kerberos: Golden Tickets.