Pass The Ticket

January 01, 2021  

PASS-THE-TICKET

Antes que nada os recomiendo mucho leer este post de Tarlogic donde explican muy bien como funciona kerberos en Active Directory.

El entorno donde se van a realizar las pruebas es el siguiente:

El primer ticket que trataremos es el TGT o Ticket Granting Ticket. Lo presentaremos ante el KDC para obtener el TGS o Ticket Granting Service. El TGT será cifrado con la clave del KDC, es decir, la clave derivada de la cuenta del krbtgt.

Haremos una suplantación de usuario, en vez de utilizando el hash ntlm de la cuenta del usuario, utilizaremos un ticket Kerberos con validez y que pertenezca a dicho usuario.

Nos traemos el ticket a nuestra maquina de atacante:

Nos conectamos a PC-ADRI

Si intentamos ver los recursos compartidos en el DC, nos da permiso denegado

Nos pasamos el mimikatz y el golden.kirbi a la maquina

Ejecutamos mimikatz seguido de los comandos que se ven en la imagen para cargar el .kirbi, y de esta forma poder tener acceso al Controlador de Dominio.

Otra forma posible seria la siguiente, con la ayuda del script en python ticketer, podemos crear un archivo llamado Administrador.ccache.

Lo exportamos a la variable KRB5CCNAME

Podemos conectarnos al DC sin proporcionar contraseña.

De esta forma tenemos persistencia absoluta en el DC aunque cambien la contraseña del administrador.