External Forest Domain - One-Way (Outbound)
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
In hierdie scenario jou domein is vertrou op sommige privileges aan 'n hoof van 'n verskillende domeine.
'n Sekuriteitskwesie bestaan wanneer 'n vertrouensverhouding tussen twee domeine gevestig word, hier geïdentifiseer as domein A en domein B, waar domein B sy vertroue na domein A uitbrei. In hierdie opstelling word 'n spesiale rekening in domein A geskep vir domein B, wat 'n belangrike rol speel in die verifikasieproses tussen die twee domeine. Hierdie rekening, wat met domein B geassosieer word, word gebruik om kaartjies te enkripteer vir toegang tot dienste oor die domeine.
Die kritieke aspek om hier te verstaan, is dat die wagwoord en hash van hierdie spesiale rekening uit 'n Domeinbeheerder in domein A onttrek kan word met behulp van 'n opdraglyn hulpmiddel. Die opdrag om hierdie aksie uit te voer is:
Hierdie ekstraksie is moontlik omdat die rekening, wat met 'n $ na sy naam geïdentifiseer word, aktief is en behoort tot die "Domain Users" groep van domein A, wat die regte wat met hierdie groep geassosieer word, erf. Dit stel individue in staat om teen domein A te autentiseer met die kredensiale van hierdie rekening.
Waarskuwing: Dit is haalbaar om hierdie situasie te benut om 'n voet aan die grond in domein A te verkry as 'n gebruiker, alhoewel met beperkte regte. Hierdie toegang is egter voldoende om enumerasie op domein A uit te voer.
In 'n scenario waar ext.local die vertrouende domein is en root.local die vertroude domein is, sou 'n gebruikersrekening met die naam EXT$ binne root.local geskep word. Deur spesifieke gereedskap is dit moontlik om die Kerberos vertrouingssleutels te dump, wat die kredensiale van EXT$ in root.local onthul. Die opdrag om dit te bereik is:
Volg hierna kan 'n mens die onttrokken RC4-sleutel gebruik om as root.local\EXT$ binne root.local te autentiseer met behulp van 'n ander hulpmiddelopdrag:
Hierdie verifikasiefase maak die moontlikheid oop om dienste binne root.local te tel en selfs te benut, soos om 'n Kerberoast-aanval uit te voer om diensrekening geloofsbriewe te onttrek met:
In die vorige vloei is die vertrouenshash gebruik in plaas van die duidelike teks wagwoord (wat ook deur mimikatz gedump is).
Die duidelike teks wagwoord kan verkry word deur die [ CLEAR ] uitvoer van mimikatz van hexadecimaal te omskakel en null bytes ‘\x00’ te verwyder:
Soms, wanneer 'n vertrouensverhouding geskep word, moet 'n wagwoord deur die gebruiker vir die vertroue getik word. In hierdie demonstrasie is die sleutel die oorspronklike vertrouenswagwoord en dus menslik leesbaar. Soos die sleutel siklusse (30 dae), sal die duidelike teks nie menslik leesbaar wees nie, maar tegnies steeds bruikbaar.
Die duidelike teks wagwoord kan gebruik word om gereelde outentisering as die vertrouensrekening uit te voer, 'n alternatief om 'n TGT aan te vra met die Kerberos geheime sleutel van die vertrouensrekening. Hier, om root.local van ext.local te vra vir lede van Domain Admins:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
