Loading...

Pass The Ticket Attack

Created2025-05-29|Updated2025-05-29|articles

|Post Views:

Cet article sera un walkthrough du lab de l’ine concernant cette attaque.

Powerview

Powerview est un outil PowerShell permettant de faire de la reconnaissance dans les domaines Windows. Il contient un ensmble de commansdes Powershell qui remplacent les commandes Windows classiques de type net *

On commence le lab en ouvrant un invite de commande powershell et en activant l’execution de scripts :

Ensuite, on peut trouver les machines du domaine sur lesquelles l’utilisateur actuel est administrateur :

On peut alors lancer une session powershell avec l’une de ces machines :

HFS

HTTP File Server (HFS) est un logiciel open source permettant de transférer des fichiers depuis un ordinateur personnel. Cela permet de transférer des fichiers sur un réseau sans avoir a passé par un service tiers.
Il est disponible sur le lien : https://www.rejetto.com/hfs/

Ainsi, on va utiliser HFS pour transférer Mimikatz sur la machine sur laquelle l’on vient d’accéder :

Ensuite, on peut télécharger le fichier avec la commande suivante :

Pour récupérer les tickets stockés dans la machine cible, il suffit d’exécuter la commande suivante :

On peut alors lister les tickets récupérés :

Le nom des fichiers est construit sous la forme suivante :

1 2	[0;<PID>]-<type>-<extra>-<ticket_flags>-<user>@<service>.kirbi

PID : Identifiant unique
Type :
- 0 : TGS
- 2 TGT
ticket_flags : Valeurs héxadécimale indiquant les flags du ticket
user : l’utilisateur pour qui le ticket est émis
@sercie : le service ou realm cible du ticket

Pour utiliser un des tickets, il suffit alors d’executer la commande :

Si la commande s’est bien exécuté, on peut voir le nouveau ticket dans notre session avec klist :

Ensuite, on peut pivoter sur le réseau en tant que l’utilisateur compromis :

ActiveDirectory Attacks

Related Articles

DéfinitionLe protocole NTLM est un ancien protocole d’authentification utilisé par les machines Windows utilisé pour s’authentifier au niveau d’un domaine ou au niveau du réseau. C’est un protocole de type Challenge / Response donc il permet de s’authentifier auprés d’un serveur sans jamais que le mot de passe ne transite sur le réseau. Ce protocole est trés utilisé par les entreprises conjointement avec le protocole Kereberos. Seul les entreprises avec une bonne maturité cyber ne l’util...

DéfinitionUne attaque trés simple qui permet de récupérer des identifiants stockés dans le partage SYSVOL qui peuvent être utilisés pour gagner un shell ou faire une escalade de privilèges. Une GPP (Group policy Preference) est une ancienne fonctionnalité qui permet de configurer des préférences sur les machines d’un Active Directory. Contrairement aux GPO, les GPP ne sont pas strictement appliqués sur les machines d’un domaine AD et permettent aux utilisateures de modifier les paramètres ap...

Golden Ticket Attack

Une attaque Golden ticket est un type d’attaque spécifique au protocole d’autentification kerberos. Kerberos est utilisé pour authentifier de maniere sécurisé les utilisateurs et les services sur un réseau. C’est quoi une attaque Golden ticket ?L’attaque Golden ticket exploit la maniere dont fonctionne Kerberos et en particulier la génération du TGT par le KDC. Si un attaquant obtient un accés au compte krbtgt, le compte utilisé par le KDC pour signer les TGT, un attaquant peut créer de faux ...

Vulnlab - Hybrid

Hybrid est une chaine composé d’un Active Directory qui contient une machine Windows et une Linux. L’accès initial se fait en compromettant la machine Linux puis la compromission du domaine est possible en utilisant une attaque ADCS EnumérationOn commence par lancer un scan nmap sur les ips fournies. 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374┌──(kali㉿kali)-[~/ctf/vulnlab/hybrid]└─$ nmap -A -iL i...

SynthseTea est une chaine Active Directory contenant 2 machines à compromettre. L’accès initial ce fait en exploitant un runner CI/CD sur une instance Gitea et la compromission total du domaine est possible grace à la connexion WSUS du controleur du domaine. Enumération initialCommencons par un scan nmap des deux machines.Il semble qu’on ait un controleur de domaine qui n’est pas derrière un firewall avec une machine hébergeant des services web.On peut récupérer le nom des deux machines ...

Vulnlab - Heron

Heron est un lab de difficulté moyenne. Le scénario suppose une compromission initiale sur une machine Linux jointe à un domaine, nécessitant un pivot vers un contrôleur de domaine pour tenter de le compromettre. EnumérationCommençons par le scan Nmap habituel :Le scan montre que la machine 10.10.168.69 n’a pas de ports accessibles, probablement en raison d’un firewall. En revanche, 10.10.168.70 a le port 22 ouvert. Cela suggére que nous devons commencer en nous connectons à la machine Linux ...

Loading Database