Trainning
  • WEEK 2
    • Tìm hiểu các thành phần hệ điều hành
    • TryHackMe| Abusing Windows Internals
  • WEEK 3
    • Một số phương thức Persistence
    • Các Phương thức tấn công Process nâng cao
    • Implement tấn công
  • week 4
    • Linux
      • Basic Concept Linux
      • Symlink
      • Linux Persistence
      • Notes
    • PROCESS LIST
    • Network
      • OSI MODEL(OPEN SYSTEMS INTERCONNECTION MODEL)
      • Các giao thức phổ biến trong môi trường enterprise
        • SMB - Server Message Block
        • LDAP - Lightweight Directory Access Protocol
          • LDAP Injection
        • SSH - Secure Shell
        • RDP - Remote Desktop Protocol
        • ICMP - Internet Control Message Protocol
        • DNS - Domain Name System
        • DHCP - Dynamic Host Configuration Protocol
        • HTTP/HTTPS
  • WEEK 5
    • Các dạng tấn công trong network phổ biến (SYNC Flood, MAC flood,...)
    • Reconnaissance
    • Active Directory
      • Group Policy
    • NTLM vs Kerberos
      • Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks
      • Path The Hash
      • ASREPRoast
        • Demo
      • Kerberoasting
        • Demo
      • Silver Ticket
        • Demo
      • Golden Ticket
        • Demo
      • Tóm tắt
    • Stealing Windows Credentials
      • Mimikatz
      • Custom SSP
    • LLMNR Poisoning, NTLM Replay
  • WEEK 6 + 7
    • DOM-based vulnerabilities
      • DOM-based open redirection
    • SQL Injection
      • Lab: Retrieving hidden data
      • Lab: Subvering application logic
      • SQL injection UNION attacks
        • Lab: SQL injection UNION attack, determining the number of columns returned by the query
        • Lab: SQL injection UNION attack, finding a column containing text
        • Lab: SQL injection UNION attack, retrieving data from other tables
        • Lab: SQL injection UNION attack, retrieving multiple values in a single column
      • Blind SQL Injection
        • Lab: Blind SQL injection with conditional responses
        • Lab: Blind SQL injection with conditional errors
        • Lab: Visible error-based SQL injection
        • Lab: Blind SQL injection with time delays
        • Lab: Blind SQL injection with time delays and information retrieval
        • Lab: Blind SQL injection with out-of-band interaction
        • Lab: Blind SQL injection with out-of-band data exfiltration
      • Examining the database
        • Lab: SQL injection attack, querying the database type and version on Oracle
        • Lab: SQL injection attack, querying the database type and version on MySQL and Microsoft
        • Lab: SQL injection attack, listing the database contents on non-Oracle databases
        • Lab: SQL injection attack, listing the database contents on Oracle
      • Che dấu cuộc tấn công bằng Encode
        • Lab: SQL injection with filter bypass via XML encoding
    • Authentication
      • Lỗ hổng trong đăng nhập bằng mật khẩu
        • Lab: Username enumeration via different responses
        • Lab: Username enumeration via subtly different responses
        • Lab: Username enumeration via response timing
        • Lab: Broken brute-force protection, IP block
        • Lab: Username enumeration via account lock
        • Lab: Broken brute-force protection, multiple credentials per request
      • Lỗ hổng trong xác thực đa nhân tố
        • Lab: 2FA simple bypass
        • Lab: 2FA broken logic
        • Lab: 2FA bypass using a brute-force attack
      • Các lỗ hổng trong cơ chế xác thực khác
        • Lab: Brute-forcing a stay-logged-in cookie
        • Lab: Offline password cracking
        • Lab: Password reset broken logic
        • Lab: Password brute-force via password change
        • Lab: Password brute-force via password change
      • Lỗ hổng xác thực OAuth 2.0
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Authentication bypass via OAuth implicit flow
        • Lab: Forced OAuth profile linking
        • Lab: OAuth account hijacking via redirect_uri
        • Lab: Stealing OAuth access tokens via an open redirect
        • Lab: Stealing OAuth access tokens via a proxy page
        • Lab: SSRF via OpenID dynamic client registration
    • Access Control
      • Lab: Unprotected admin functionality
      • Lab: Unprotected admin functionality with unpredictable URL
      • Lab: User role controlled by request parameter
      • Lab: User role can be modified in user profile
      • Lab: URL-based access control can be circumvented
      • Lab: Method-based access control can be circumvented
      • Lab: User ID controlled by request parameter
      • Lab: User ID controlled by request parameter, with unpredictable user IDs
      • Lab: User ID controlled by request parameter with data leakage in redirect
      • Lab: Insecure direct object references
      • Lab: Multi-step process with no access control on one step
      • Lab: Referer-based access control
    • Path Traversal
      • Lab: File path traversal, simple case
      • Lab: File path traversal, traversal sequences blocked with absolute path bypass
      • Lab: File path traversal, traversal sequences stripped non-recursively
      • Lab: File path traversal, traversal sequences stripped with superfluous URL-decode
      • Lab: File path traversal, validation of start of path
      • Lab: File path traversal, validation of file extension with null byte bypass
    • Command Injection
      • Lab: OS command injection, simple case
      • Lab: Blind OS command injection with time delays
      • Lab: Blind OS command injection with output redirection
      • Lab: Blind OS command injection with out-of-band interaction
      • Lab: Blind OS command injection with out-of-band data exfiltration
    • File uploads
    • Server-side request forgery (SSRF)
    • Cross-site scripting
      • Reflected XSS
      • Stored XSS
      • DOM-based XSS
      • Cross-site scripting contexts
    • Cross-site request forgery (CSRF)
      • Bypassing CSRF token validation
      • Bypass SameSite cookie restrictions
      • Page 2
    • Insecure deserializaton
    • Burp Suite
    • Tóm tắt
  • Week 8
    • Rà soát mã độc
Powered by GitBook
On this page
  • Golden Ticket với mimikatz
  • Ủy quyền lấy dữ liệu tài khoản:
  • Detection DCSync
  • Mitigation DCSync
  • Event ID’s to Correlate
  • References
  1. WEEK 5
  2. NTLM vs Kerberos
  3. Golden Ticket

Demo

PreviousGolden TicketNextTóm tắt

Last updated 8 months ago

Golden Ticket với mimikatz

Ủy quyền lấy dữ liệu tài khoản:

Quyền DCSync ngụ ý có nhứng quyền này trên chính miền đó: DS-Replication-Get-Changes, Replicating Directory Changes All và Replicating Directory Changes In Filtered Set.

Important Notes about DCSync:

  • Cuộc tấn công DCSync mô phỏng hành vi của Domain Controller và yêu cầu các Domain Controllers sao chép thông tin bằng Directory Replication Service Remote Protocol (MS-DRSR). Vì MS-DRSR là chức năng hợp lệ và cần thiết của Active Directory nên không thể tắt hoặc vô hiệu hóa chức năng này.

  • Mặc định chỉ có Domain Admins, Enterprise Admins, Administrators, và Domain Controllers groups có những đặc quyền này.

  • Nếu bất kỳ mật khẩu tài khoản nào được lưu trữ bằng mã hóa dễ dịch ngược, Mimikatz có tùy chọn trả về mật khẩu dưới dạng văn bản rõ

Có thể sử dụng tài khoản người dùng miền thông thường để chạy DCSync nhưng cần được ủy quyền các quyền sau đây ở cấp miền để truy xuất thành công dữ liệu mật khẩu với DCSync:

  • Replicating Directory Changes () Quyền mở rộng cần thiết để chỉ sao chép những thay đổi từ một NC nhất định cái mà cũng được sao chép sang Global Catalog (loại trừ dữ liệu miền bí mật). Ràng buộc này chỉ có ý nghĩa đối với .

  • Replicating Directory Changes All () Quyền truy cập kiểm soát cho phép sao cheps tất cả dữ liệu NC bản sao nhất định, bao gồm cả dữ liệu miền bí mất

  • Sap chép các thay đổi thư mục trong tập hợp đã lọc (hiếm, chỉ cần thiết trong một số môi trường nhất định).

Nên sử dụng các giá trị băm aes256_hmac để tạo ticket để giảm bới sự bất thường của hoạt động

Lệnh ánh xạ ổ đĩa mạng pushd

Bước 2: Tạo Golden ticket

Sử dụng mimikatz kerberos::golden: Các tham số kèm theo

  • /domain— FQDN của tên miền

  • /sid— SID của miền

  • /aes256— Băm mật khẩu AES-256 của KRBTGT người dùng ( /ntlmhoặc /rc4có thể được sử dụng cho băm NTLM và /aes128cho AES-128)

  • /user— Tên người dùng sẽ bị mạo danh

  • /groups— Danh sách các nhóm (theo RID) cần đưa vào phiếu, nhóm đầu tiên là nhóm chính của người dùng

  • /ptt— Chỉ ra rằng vé giả mạo nên được đưa vào phiên hiện tại thay vì được ghi vào tệp

Bước 3: Sử dụng vé giả mạo để có thể truy cập các tài nguyên tích hợp Kerberos

Detection DCSync

Xác định các địa chỉ của DC - các địa chỉ được phép Replicaton Directory Changes

Sử dụng các công cụ giám sát lưu lương để phát hiện các gói tin yêu cầu DsGetNCChanges bất thường từ các địa chỉ không nằm trong các địa chỉ đã liệt kê trên

Mitigation DCSync

  • Security Event ID 4662 (Audit Policy for object must be enabled) – An operation was performed on an object

  • Security Event ID 5136 (Audit Policy for object must be enabled) – A directory service object was modified

  • Security Event ID 4670 (Audit Policy for object must be enabled) – Permissions on an object were changed

Event ID’s to Correlate

Event ID

Description

What soc analyst to think

4672

Special Privilege Assigned

Analyst nên áp dụng logic bộ lọc trên SIEM và đi sâu vào tìm tài khoản đáng sử dụng special Privilege

4674

An operation was attempted on a privileged object

Kiểm tra các lệnh hoặc bộ xử lý cụ thể đang được thực thi bằng tài khoản người dùng, đồng thời kiểm tra tên máy trên EDR. Có khả năng cao kẻ tấn công gửi các tập lệnh hợp pháp như (ipconfig,... ) để hiển thị chúng là hoạt động kinh doanh hợp pháp. Không ngừng nghi nhờ và đánh dâu các sự kiện là false-posittive

4688

A new process is created

Các chương trình, lệnh hợp pháp đáng ngờ đang được chạy vào lúc này.

4768

A Kerberos authentication Ticket Requested ( TGT )

Thiếu event này có thể cho thấy Golden Ticket đang được sử dụng.

4769

A Kerberos service Ticket

Check ticket encryption type và description về type đó

5140

A network share Object was accessed

File sharing service is accessed

References

Bước 1: Sử dụng để lấy được các giá trị băm cảu người dùng krbtgt

AD ACL Scanner - Create and compare create reports of ACLs.

DCSync
https://github.com/canix1/ADACLScanner
DS-Replication-Get-Changes
Domain NCs
DS-Replication-Get-Changes-All
Mimikatz DCSync Usage, Exploitation, and DetectionActive Directory Security
LogoDCSyncHackTricks
Golden Ticket AttackNetwrix