External Forest Domain - One-Way (Outbound)
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Bu senaryoda domaininiz bazı yetkileri farklı domainlerden bir prensipe güvenmektedir.
İki alan arasında bir güven ilişkisi kurulduğunda, burada alan A ve alan B olarak tanımlanan, alan B'nin alan A'ya güvenini genişlettiği durumlarda bir güvenlik açığı vardır. Bu yapılandırmada, alan B için alan A'da özel bir hesap oluşturulur; bu hesap, iki alan arasındaki kimlik doğrulama sürecinde kritik bir rol oynar. Alan B ile ilişkilendirilen bu hesap, alanlar arasında hizmetlere erişim için biletleri şifrelemek amacıyla kullanılır.
Burada anlaşılması gereken kritik nokta, bu özel hesabın şifresinin ve hash'inin alan A'daki bir Alan Denetleyicisinden bir komut satırı aracı kullanılarak çıkarılabileceğidir. Bu işlemi gerçekleştirmek için kullanılan komut şudur:
Bu çıkarım, adının ardından bir $ ile tanımlanan hesabın aktif olması ve A alanının "Domain Users" grubuna ait olması nedeniyle mümkündür; böylece bu grubun ilişkili izinlerini miras alır. Bu, bireylerin bu hesabın kimlik bilgilerini kullanarak A alanına kimlik doğrulaması yapmalarını sağlar.
Uyarı: Bu durumu, sınırlı izinlerle de olsa bir kullanıcı olarak A alanında bir yer edinmek için kullanmak mümkündür. Ancak, bu erişim A alanında numaralandırma yapmak için yeterlidir.
ext.local güvenen alan ve root.local güvenilen alan olduğunda, root.local içinde EXT$ adında bir kullanıcı hesabı oluşturulacaktır. Belirli araçlar aracılığıyla, Kerberos güven anahtarlarını dökerek root.local içindeki EXT$ kimlik bilgilerini açığa çıkarmak mümkündür. Bunu başarmak için kullanılan komut şudur:
Bunun ardından, çıkarılan RC4 anahtarını kullanarak root.local içinde root.local\EXT$ olarak kimlik doğrulamak için başka bir araç komutu kullanılabilir:
Bu kimlik doğrulama adımı, root.local içindeki hizmetleri listeleme ve hatta istismar etme olasılığını açar; örneğin, hizmet hesap kimlik bilgilerini çıkarmak için bir Kerberoast saldırısı gerçekleştirmek:
Önceki akışta, açık metin parolası yerine güven ilişkisi hash'i kullanıldı (bu da mimikatz tarafından döküldü).
Açık metin parolası, mimikatz'tan alınan [ CLEAR ] çıktısını onaltılıdan dönüştürerek ve null byte'ları ‘\x00’ kaldırarak elde edilebilir:
Bazen bir güven ilişkisi oluşturulurken, kullanıcı tarafından güven için bir parola girilmesi gerekir. Bu gösterimde, anahtar orijinal güven ilişkisi parolasıdır ve dolayısıyla insan tarafından okunabilir. Anahtar döngüye girdiğinde (30 gün), açık metin insan tarafından okunabilir olmayacak ama teknik olarak yine de kullanılabilir.
Açık metin parolası, güven hesabı olarak normal kimlik doğrulama gerçekleştirmek için kullanılabilir; bu, güven hesabının Kerberos gizli anahtarını kullanarak bir TGT talep etmenin bir alternatifidir. Burada, ext.local'dan root.local'a Domain Admins üyeleri için sorgulama yapılmaktadır:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
