External Forest Domain - One-Way (Outbound)
U ovom scenariju vaš domen poverava neke privilegije principu iz različitih domena.
Enumeracija
Izlazno poverenje
Napad na nalog poverenja
Postoji sigurnosna ranjivost kada se uspostavi poverenje između dva domena, identifikovana ovde kao domen A i domen B, gde domen B proširuje svoje poverenje na domen A. U ovom postavci, poseban nalog se kreira u domenu A za domen B, koji igra ključnu ulogu u procesu autentifikacije između ova dva domena. Ovaj nalog, povezan sa domenom B, koristi se za enkripciju karata za pristup uslugama preko domena.
Ključno je razumeti da se lozinka i heš ovog posebnog naloga mogu izvući sa kontrolera domena u domenu A korišćenjem alata komandne linije. Komanda za izvođenje ove radnje je:
Ova ekstrakcija je moguća jer je nalog, identifikovan sa $ nakon svog imena, aktivan i pripada grupi "Domain Users" domena A, te stoga nasleđuje dozvole povezane sa ovom grupom. Ovo omogućava pojedincima da se autentifikuju protiv domena A koristeći akreditive ovog naloga.
Upozorenje: Moguće je iskoristiti ovu situaciju kako bi se stekao oslonac u domenu A kao korisnik, iako sa ograničenim dozvolama. Međutim, ovaj pristup je dovoljan za sprovođenje enumeracije na domenu A.
U scenariju gde je ext.local
domen koji veruje, a root.local
je poverljivi domen, korisnički nalog nazvan EXT$
bi bio kreiran unutar root.local
. Kroz specifične alate, moguće je izvršiti iskopavanje Kerberos ključeva poverenja, otkrivajući akreditive EXT$
u root.local
. Komanda za postizanje ovoga je:
Nakon toga, moglo bi se koristiti izvučeni RC4 ključ za autentifikaciju kao root.local\EXT$
unutar root.local
korišćenjem druge alatke komande:
Ovaj korak autentifikacije otvara mogućnost za numerisanje čak i eksploataciju servisa unutar root.local
, poput izvođenja Kerberoast napada radi izvlačenja kredencijala servisnog naloga korišćenjem:
Prikupljanje lozinke poverenja u čistom tekstu
U prethodnom toku korišćen je heš poverenja umesto lozinke u čistom tekstu (koja je takođe izvučena pomoću alata mimikatz).
Lozinka u čistom tekstu može se dobiti konvertovanjem izlaza [ CLEAR ] iz alata mimikatz iz heksadecimalnog oblika i uklanjanjem nultih bajtova ‘\x00’:
Ponekad prilikom kreiranja poverenja, korisnik mora uneti lozinku za poverenje. U ovom primeru, ključ je originalna lozinka poverenja i stoga je čitljiva čoveku. Kako ključevi rotiraju (svakih 30 dana), lozinka u čistom tekstu neće biti čitljiva čoveku, ali tehnički i dalje upotrebljiva.
Lozinka u čistom tekstu može se koristiti za obavljanje redovne autentifikacije kao nalog poverenja, kao alternativa zahtevanju TGT-a korišćenjem Kerberos tajnog ključa naloga poverenja. Ovde, upit root.local sa ext.local za članove Domain Admins:
Reference
Last updated