في هذا الثريد البسيط بتكلم بشكل موجز عن Golden Ticket وهو باختصار هجوم يخول المهاجم الحصول على صلاحية Domain Admin قد تصل الى 10 سنوات ..يتبع
شروط تنفيذ الهجوم:
1- تحديد النطاق Domain (test.local)
2-المعرف الخاص بمدير النطاق Domain Admin's login ID
3-الـ سيد الخاص بالدومين Domain SID
4-الـ Hash الخاص بحساب KRBTGT (يمكن الحصول عليه عن طريق DCSync)
1- تحديد النطاق Domain (test.local)
2-المعرف الخاص بمدير النطاق Domain Admin's login ID
3-الـ سيد الخاص بالدومين Domain SID
4-الـ Hash الخاص بحساب KRBTGT (يمكن الحصول عليه عن طريق DCSync)
فكرة الهجوم:
الـ Domain Controller مسؤول عن الـ Kerberos Tickets التي تمنح المستخدمين صلاحية الوصول الى خدمة معينة وحساب KRBTGT تحديداً هو الحساب المسؤول عن مصادقة الـ Ticket
وهو حساب مؤحد في كل نظام Active Directory
الـ Domain Controller مسؤول عن الـ Kerberos Tickets التي تمنح المستخدمين صلاحية الوصول الى خدمة معينة وحساب KRBTGT تحديداً هو الحساب المسؤول عن مصادقة الـ Ticket
وهو حساب مؤحد في كل نظام Active Directory
فائدة الهجوم: في حالة حصولك على صلاحية Domain Admin في احد النطاقات. ماذا لو تم تغيير كلمات السر الخاصة بالحساب؟ او سد الثغرة التي تم استغلالها من قبلك؟
هذا الهجوم يوفر لك الـ ticket بحيث تكون هي مفتاحك للوصول الى Domain Admin Privilages في كل مرة :)
هذا الهجوم يوفر لك الـ ticket بحيث تكون هي مفتاحك للوصول الى Domain Admin Privilages في كل مرة :)
طريقة التنفيذ عن طريق اداة Mimikatz:
kerberos::golden /admin:<domain admin loginID> /domain:test.local /sid:<Domain SID> /krbtgt:<krbtgt NTLM Hash> /ticket:Golden.kirbi
وهذا الامر يقوم بعمل export لل Ticket التي ستحتفظ بها
kerberos::golden /admin:<domain admin loginID> /domain:test.local /sid:<Domain SID> /krbtgt:<krbtgt NTLM Hash> /ticket:Golden.kirbi
وهذا الامر يقوم بعمل export لل Ticket التي ستحتفظ بها
اخيراً.. كتبت هذا الثريد من فهمي المتواضع للهجوم. أي تصحيح أو اضافة للمعلومات مرحب به جداً !!
جاري تحميل الاقتراحات...