SID-History Injection
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
SID History Injection Attack
Основна мета атаки на ін'єкцію SID-історії полягає в допомозі міграції користувачів між доменами, забезпечуючи при цьому безперервний доступ до ресурсів з попереднього домену. Це досягається шляхом включення попереднього ідентифікатора безпеки (SID) користувача в SID-історію їх нового облікового запису. Варто зазначити, що цей процес можна маніпулювати для надання несанкціонованого доступу, додаючи SID групи з високими привілеями (такої як Enterprise Admins або Domain Admins) з батьківського домену до SID-історії. Це використання надає доступ до всіх ресурсів у батьківському домені.
Існує два методи для виконання цієї атаки: через створення Золотого квитка або Діамантового квитка.
Щоб визначити SID для групи "Enterprise Admins", спочатку потрібно знайти SID кореневого домену. Після ідентифікації SID групи Enterprise Admins можна побудувати, додавши -519
до SID кореневого домену. Наприклад, якщо SID кореневого домену S-1-5-21-280534878-1496970234-700767426
, то результатом буде SID для групи "Enterprise Admins" S-1-5-21-280534878-1496970234-700767426-519
.
Ви також можете використовувати групи Domain Admins, які закінчуються на 512.
Ще один спосіб знайти SID групи з іншого домену (наприклад, "Domain Admins") - це:
Золотий квиток (Mimikatz) з KRBTGT-AES256
Для отримання додаткової інформації про золоті квитки дивіться:
Golden TicketДіамантовий квиток (Rubeus + KRBTGT-AES256)
Для отримання додаткової інформації про diamond tickets дивіться:
Diamond TicketЕскалація до DA кореня або Enterprise admin, використовуючи хеш KRBTGT скомпрометованого домену:
З отриманими дозволами від атаки ви можете виконати, наприклад, атаку DCSync у новому домені:
DCSyncЗ linux
Вручну з ticketer.py
Автоматично за допомогою raiseChild.py
Це скрипт Impacket, який автоматизує підвищення з дочірнього до батьківського домену. Скрипт потребує:
Цільовий контролер домену
Облікові дані для адміністратора в дочірньому домені
Процес:
Отримує SID для групи Enterprise Admins батьківського домену
Отримує хеш для облікового запису KRBTGT в дочірньому домені
Створює Золотий Квиток
Увійти в батьківський домен
Отримує облікові дані для облікового запису адміністратора в батьківському домені
Якщо вказано перемикач
target-exec
, він автентифікується до контролера домену батьківського домену через Psexec.
Посилання
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Last updated