mimikatz # lsadump::dcsync /user:krbtgt

mimikatz # privilege::debug
mimikatz # lsadump::lsa /inject /name:krbtgt

mimikatz # sekurlsa::krbtgt

impacket-secretsdump domain.dom/root@192.168.6.100

impacket-ticketer -nthash 08f5bf2e292d77d8e460d3926a0d90de -domain-sid S-1-5-21-719111203-942671344-1831409528 -domain domain.dom anyuser

export KRB5CCNAME=anyuser.ccache

python3 psexec.py -k -no-pass [домен]/[пользователь]@[имя хоста]

mimikatz # misc::cmd

Представь, что мы скомпрометировали привилегированные учетные записи, используя разные техники повышения привилегий, распространились по сети, скрылись от средств обнаружения, но неожиданно потеряли контроль над доменом, потому что администратор по какой-то причине сменил пароль! В сегодняшней статье мы разберем способы сохранить административный доступ, даже если администратор сменил пароли или разрешения. Другие статьи про атаки на Active Directory Разведка в Active Directory. Получаем пользовательские данные в сетях Windows без привилегий Атаки на Active Directory. Разбираем актуальные методы повышения привилегий Боковое перемещение в Active Directory. Разбираем техники Lateral Movement при атаке на домен Защита от детекта в Active Directory. Уклоняемся от обнаружения при атаке на домен Защита от детекта в Active Directory. Как обмануть средства обнаружения при атаке на домен Сбор учеток в Active Directory. Как искать критически важные данные при атаке на домен WARNING Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный информацией из этой статьи. Kerberos Golden Tickets Один из способов сохранить доступ к системе — сформировать Golden Ticket: пароль учетной записи krbtgt РЅРµ будет изменен РїСЂРё тех же условиях, РїСЂРё которых может быть изменен пароль администратора. Golden Ticket — это поддельные билеты для выдачи билетов, также называемые аутентификационными билетами (РѕРЅРё же TGT). Если посмотреть РЅР° схему аутентификации Kerberos РІ случае Golden Ticket, то можно заметить, что подлинность Kerberos РЅРµ проверяется (AS-REQ Рё AS-REP СЃ контроллером домена). Так как Golden Ticket является поддельным TGT, РѕРЅ отправляется контроллеру домена как часть TGS-REQ для получения билета TGS. Схема аутентификации Kerberos c Golden Ticket Золотой билет Kerberos — действительный билет Kerberos TGT, поскольку РѕРЅ зашифрован Рё подписан доменной учетной записью Kerberos (krbtgt). А так как TGT зашифрован хешем пароля krbtgt Рё может быть расшифрован любой службой KDC РІ домене, то билет Рё воспринимается как реальный. Для того чтобы сделать Golden Ticket, нам необходимо знать следующее: SPN домена. SID домена. NTLM-хеш доменной учетной записи krbtgt. Имя пользователя, под которым будет работать оператор (даже если такого пользователя не существует). Так как имя пользователя можно использовать любое, остается найти три недостающих компонента. Название и SID домена можно узнать с помощью PowerShell-команды Get-ADDomain. SID Рё РёРјСЏ домена Теперь нужно получить NTLM-хеш учетной записи krbtgt. Сделать это можно как удаленно, так и с помощью mimikatz. С использованием mimikatz у оператора есть выбор: выполнить атаку DCSync, используя базу Security Account Managers (SAM), или задействовать модуль sekurlsa. Получаем хеши с помощью mimikatz, используя атаку DCSync Получаем хеши с помощью mimikatz, используя базу SAM Получаем хеши с помощью mimikatz, используя модуль sekurlsa Удаленная атака выполняется также с использованием DCSync или при наличии открытой сессии meterpreter. Получение хешей с помощью secretsdump Существует два варианта использования meterpreter: РїСЂРё помощи hashdump и dcsync_ntlm (для второго нужно загрузить модуль kiwi). Получение хешей СЃ помощью meterpreter hashdump Получение хешей СЃ помощью meterpreter dcsync_ntlm РЎ помощью полученной информации можно создать Рё применить Golden Ticket. Сделаем это тремя способами: используя mimikatz, удаленно СЃ помощью ticketer и с использованием meterpreter. Ticketer Первым делом следует создать билет. Для этого используем СЃРєСЂРёРїС‚ ticketer из пакета impacket (напомню, что РёРјСЏ пользователя можно выдумать любое). Создание Golden Ticket с помощью ticketer В текущей директории создан билет anyuser.ccache. Экспортируем его. Теперь подключимся с помощью psexec РёР· того же пакета impacket. Подключаемся к хосту, используя golden ticket Получаем удаленное управление с правами SYSTEM. Mimikatz Создадим поддельный золотой билет СЃ помощью mimikatz. Создание golden ticket СЃ помощью mimikatz Если РІ данной команде РЅРµ использовать параметр /ptt, то билет будет просто сохранен в текущей директории. В данном случае он сразу будет кеширован в памяти. Давай проверим это, вызвав командную строку. Теперь, выполнив команду klist, наблюдаем кешированный Golden Ticket. Создание Golden Ticket СЃ помощью mimikatz Meterpreter Для работы СЃ meterpreter будем использовать модуль kiwi. Первым делом создадим Golden Ticket. Создание Golden Ticket с помощью meterpreter Теперь применим его. Применение Golden Ticket с помощью meterpreter И проверим, что билет успешно загружен. Загруженный Golden Ticket Таким образом, у нас остается возможность работы с повышенными привилегиями, при этом мы не используем учетных данных администраторов. Это означает, что мы можем получить доступ всегда, даже при смене паролей пользователей, изменении их ролей и даже при удалении скомпрометированных учетных записей.