SID-History Injection
SID-History Injection Angriff
Der Fokus des SID-History Injection Angriffs liegt darauf, Benutzermigrationen zwischen Domänen zu unterstützen und gleichzeitig den Zugriff auf Ressourcen der vorherigen Domäne zu gewährleisten. Dies wird erreicht, indem der vorherige Sicherheitsbezeichner (SID) des Benutzers in die SID-Historie seines neuen Kontos aufgenommen wird. Bemerkenswert ist, dass dieser Prozess manipuliert werden kann, um unbefugten Zugriff zu gewähren, indem die SID einer hochprivilegierten Gruppe (wie Enterprise Admins oder Domain Admins) aus der übergeordneten Domäne zur SID-Historie hinzugefügt wird. Diese Ausnutzung gewährt Zugriff auf alle Ressourcen innerhalb der übergeordneten Domäne.
Es gibt zwei Methoden, um diesen Angriff auszuführen: durch die Erstellung eines Golden Ticket oder eines Diamond Ticket.
Um die SID der "Enterprise Admins" Gruppe zu bestimmen, muss zunächst die SID der Root-Domäne gefunden werden. Nach der Identifizierung kann die SID der Enterprise Admins Gruppe konstruiert werden, indem -519
an die SID der Root-Domäne angehängt wird. Wenn die SID der Root-Domäne beispielsweise S-1-5-21-280534878-1496970234-700767426
ist, wäre die resultierende SID für die "Enterprise Admins" Gruppe S-1-5-21-280534878-1496970234-700767426-519
.
Sie könnten auch die Domain Admins Gruppen verwenden, die mit 512 enden.
Eine andere Möglichkeit, die SID einer Gruppe der anderen Domäne (zum Beispiel "Domain Admins") zu finden, ist:
Golden Ticket (Mimikatz) mit KRBTGT-AES256
Für weitere Informationen zu goldenen Tickets siehe:
Golden TicketDiamant Ticket (Rubeus + KRBTGT-AES256)
Für weitere Informationen zu Diamond Tickets siehe:
Diamond TicketErhöhen Sie die Berechtigungen auf DA des Root- oder Enterprise-Administrators unter Verwendung des KRBTGT-Hashes der kompromittierten Domäne:
Mit den erlangten Berechtigungen aus dem Angriff können Sie beispielsweise einen DCSync-Angriff in der neuen Domäne ausführen:
DCSyncVon Linux
Manuell mit ticketer.py
Automatisch mit raiseChild.py
Dies ist ein Impacket-Skript, das die Eskalation vom Kind- zum Eltern-Domain automatisiert. Das Skript benötigt:
Ziel-Domain-Controller
Anmeldedaten für einen Admin-Benutzer in der Kind-Domain
Der Ablauf ist:
Erhält die SID für die Enterprise Admins-Gruppe der Eltern-Domain
Ruft den Hash für das KRBTGT-Konto in der Kind-Domain ab
Erstellt ein Golden Ticket
Meldet sich bei der Eltern-Domain an
Ruft die Anmeldedaten für das Administrator-Konto in der Eltern-Domain ab
Wenn der
target-exec
-Schalter angegeben ist, authentifiziert es sich beim Domain-Controller der Eltern-Domain über Psexec.
Referenzen
Last updated