Active Directory Metodologija

Reading time: 35 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Osnovni pregled

Active Directory služi kao osnovna tehnologija, omogućavajući mrežnim administratorima da efikasno kreiraju i upravljaju domenima, korisnicima i objektima unutar mreže. Dizajnirana je da se skalira, olakšavajući organizaciju velikog broja korisnika u upravljive grupe i podgrupe, dok kontroliše prava pristupa na različitim nivoima.

Struktura Active Directory se sastoji od tri osnovna sloja: domeni, drveća i šuma. Domen obuhvata kolekciju objekata, kao što su korisnici ili uređaji, koji dele zajedničku bazu podataka. Drveća su grupe ovih domena povezane zajedničkom strukturom, a šuma predstavlja kolekciju više drveća, međusobno povezanih kroz odnos poverenja, formirajući najviši sloj organizacione strukture. Specifična prava pristupa i komunikacije mogu se dodeliti na svakom od ovih nivoa.

Ključni koncepti unutar Active Directory uključuju:

  1. Direktorijum – Sadrži sve informacije koje se odnose na Active Directory objekte.
  2. Objekat – Označava entitete unutar direktorijuma, uključujući korisnike, grupe ili deljene foldere.
  3. Domen – Služi kao kontejner za objekte direktorijuma, sa mogućnošću da više domena koegzistira unutar jedne šume, pri čemu svaki održava svoju kolekciju objekata.
  4. Drvo – Grupa domena koja deli zajednički korenski domen.
  5. Šuma – Vrh organizacione strukture u Active Directory, sastavljena od više drveća sa odnosima poverenja među njima.

Active Directory Domain Services (AD DS) obuhvata niz usluga koje su ključne za centralizovano upravljanje i komunikaciju unutar mreže. Ove usluge uključuju:

  1. Domen usluge – Centralizuje skladištenje podataka i upravlja interakcijama između korisnika i domena, uključujući autentifikaciju i pretragu funkcionalnosti.
  2. Usluge sertifikata – Nadgleda kreiranje, distribuciju i upravljanje sigurnim digitalnim sertifikatima.
  3. Lagana direktorijumska usluga – Podržava aplikacije omogućene direktorijumom putem LDAP protokola.
  4. Usluge federacije direktorijuma – Pruža mogućnosti jednostavnog prijavljivanja za autentifikaciju korisnika preko više web aplikacija u jednoj sesiji.
  5. Upravljanje pravima – Pomaže u zaštiti autorskog materijala regulisanjem njegove neovlašćene distribucije i korišćenja.
  6. DNS usluga – Ključna za rešavanje domen imena.

Za detaljnije objašnjenje pogledajte: TechTerms - Definicija Active Directory

Kerberos Autentifikacija

Da biste naučili kako da napadnete AD, potrebno je da razumete veoma dobro proces autentifikacije Kerberos.
Pročitajte ovu stranicu ako još ne znate kako to funkcioniše.

Cheat Sheet

Možete posetiti https://wadcoms.github.io/ da biste imali brzi pregled komandi koje možete pokrenuti za enumeraciju/eksploataciju AD.

warning

Kerberos komunikacija zahteva potpuno kvalifikovano ime (FQDN) za izvođenje radnji. Ako pokušate da pristupite mašini putem IP adrese, koristiće NTLM, a ne Kerberos.

Recon Active Directory (Bez kredencijala/sesija)

Ako imate pristup AD okruženju, ali nemate nikakve kredencijale/sesije, možete:

  • Pentestovati mrežu:
  • Skenirati mrežu, pronaći mašine i otvorene portove i pokušati da eksploatišete ranjivosti ili izvučete kredencijale iz njih (na primer, štampači bi mogli biti veoma zanimljivi ciljevi).
  • Enumeracija DNS-a može dati informacije o ključnim serverima u domenu kao što su web, štampači, deljenja, vpn, mediji, itd.
  • gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
  • Pogledajte opštu Pentesting Metodologiju da biste pronašli više informacija o tome kako to uraditi.
  • Proverite pristup bez kredencijala i gostujući pristup na smb uslugama (ovo neće raditi na modernim verzijama Windows-a):
  • enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
  • smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
  • smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
  • Detaljniji vodič o tome kako da enumerišete SMB server može se pronaći ovde:

139,445 - Pentesting SMB

  • Enumeracija Ldap
  • nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
  • Detaljniji vodič o tome kako da enumerišete LDAP može se pronaći ovde (obratite posebnu pažnju na anonimni pristup):

389, 636, 3268, 3269 - Pentesting LDAP

Enumeracija korisnika

  • Anonimna SMB/LDAP enumeracija: Proverite pentesting SMB i pentesting LDAP stranice.
  • Kerbrute enumeracija: Kada se zatraži nevažeće korisničko ime, server će odgovoriti koristeći Kerberos grešku kod KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN, omogućavajući nam da utvrdimo da je korisničko ime nevažeće. Važeća korisnička imena će izazvati ili TGT u AS-REP odgovoru ili grešku KRB5KDC_ERR_PREAUTH_REQUIRED, što ukazuje da je korisnik obavezan da izvrši pre-autentifikaciju.
  • Bez autentifikacije protiv MS-NRPC: Korišćenje auth-level = 1 (Bez autentifikacije) protiv MS-NRPC (Netlogon) interfejsa na kontrolerima domena. Metoda poziva funkciju DsrGetDcNameEx2 nakon povezivanja MS-NRPC interfejsa da proveri da li korisnik ili računar postoji bez ikakvih kredencijala. Alat NauthNRPC implementira ovu vrstu enumeracije. Istraživanje se može pronaći ovde
bash
./kerbrute_linux_amd64 userenum -d lab.ropnop.com --dc 10.10.10.10 usernames.txt #From https://github.com/ropnop/kerbrute/releases

nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='DOMAIN'" <IP>
Nmap -p 88 --script=krb5-enum-users --script-args krb5-enum-users.realm='<domain>',userdb=/root/Desktop/usernames.txt <IP>

msf> use auxiliary/gather/kerberos_enumusers

crackmapexec smb dominio.es  -u '' -p '' --users | awk '{print $4}' | uniq
python3 nauth.py -t target -u users_file.txt #From https://github.com/sud0Ru/NauthNRPC
  • OWA (Outlook Web Access) Server

Ako pronađete jedan od ovih servera u mreži, možete takođe izvršiti enumeraciju korisnika protiv njega. Na primer, mogli biste koristiti alat MailSniper:

bash
ipmo C:\Tools\MailSniper\MailSniper.ps1
# Get info about the domain
Invoke-DomainHarvestOWA -ExchHostname [ip]
# Enumerate valid users from a list of potential usernames
Invoke-UsernameHarvestOWA -ExchHostname [ip] -Domain [domain] -UserList .\possible-usernames.txt -OutFile valid.txt
# Password spraying
Invoke-PasswordSprayOWA -ExchHostname [ip] -UserList .\valid.txt -Password Summer2021
# Get addresses list from the compromised mail
Get-GlobalAddressList -ExchHostname [ip] -UserName [domain]\[username] -Password Summer2021 -OutFile gal.txt

warning

Možete pronaći liste korisničkih imena u ovoj github repozitorijumu i ovom (statistički verovatna korisnička imena).

Međutim, trebali biste imati ime ljudi koji rade u kompaniji iz koraka istraživanja koji ste trebali obaviti pre ovoga. Sa imenom i prezimenom mogli biste koristiti skriptu namemash.py da generišete potencijalna validna korisnička imena.

Poznavanje jednog ili više korisničkih imena

U redu, znate da već imate validno korisničko ime, ali nemate lozinke... Pokušajte:

  • ASREPRoast: Ako korisnik nema atribut DONT_REQ_PREAUTH, možete zatražiti AS_REP poruku za tog korisnika koja će sadržati neke podatke šifrovane derivacijom lozinke korisnika.
  • Password Spraying: Pokušajmo sa najviše uobičajenim lozinkama za svakog od otkrivenih korisnika, možda neki korisnik koristi lošu lozinku (imajte na umu politiku lozinki!).
  • Imajte na umu da možete takođe spray OWA servere da pokušate da dobijete pristup korisničkim mail serverima.

Password Spraying / Brute Force

LLMNR/NBT-NS Trovanje

Možda ćete moći da dobijete neke izazove hash-eve da razbijete trovanjem nekih protokola mreže:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

NTLM Preusmeravanje

Ako ste uspeli da enumerišete aktivni direktorijum, imaćete više emailova i bolje razumevanje mreže. Možda ćete moći da primorate NTLM preusmeravanje napada da dobijete pristup AD okruženju.

Ukrasti NTLM Kredencijale

Ako možete pristupiti drugim računarima ili deljenjima sa null ili gost korisnikom, mogli biste postaviti datoteke (kao što je SCF datoteka) koje, ako se nekako pristupe, će pokrenuti NTLM autentifikaciju protiv vas tako da možete ukrasti NTLM izazov da ga razbijete:

Places to steal NTLM creds

Enumeracija Aktivnog Direktorijuma SA kredencijalima/sesijom

Za ovu fazu morate imati kompromitovane kredencijale ili sesiju validnog domen korisnika. Ako imate neke validne kredencijale ili shell kao domen korisnik, trebalo bi da zapamtite da su opcije date ranije još uvek opcije za kompromitovanje drugih korisnika.

Pre nego što započnete autentifikovanu enumeraciju, trebali biste znati šta je Kerberos double hop problem.

Kerberos Double Hop Problem

Enumeracija

Imati kompromitovan račun je veliki korak ka kompromitovanju celog domena, jer ćete moći da započnete Enumeraciju Aktivnog Direktorijuma:

Što se tiče ASREPRoast, sada možete pronaći svakog mogućeg ranjivog korisnika, a što se tiče Password Spraying, možete dobiti listu svih korisničkih imena i pokušati lozinku kompromitovanog računa, prazne lozinke i nove obećavajuće lozinke.

Veoma je lako dobiti sva korisnička imena domena iz Windows-a (net user /domain, Get-DomainUser ili wmic useraccount get name,sid). U Linux-u, možete koristiti: GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/username ili enum4linux -a -u "user" -p "password" <DC IP>

Čak i ako ovaj deo o enumeraciji izgleda mali, ovo je najvažniji deo svega. Pristupite linkovima (pretežno onima o cmd, powershell, powerview i BloodHound), naučite kako da enumerišete domen i vežbajte dok se ne osećate prijatno. Tokom procene, ovo će biti ključni trenutak da pronađete svoj put do DA ili da odlučite da ništa ne može biti učinjeno.

Kerberoast

Kerberoasting uključuje dobijanje TGS karata koje koriste usluge povezane sa korisničkim računima i razbijanje njihove enkripcije—koja se zasniva na korisničkim lozinkama—offline.

Više o ovome u:

Kerberoast

Daljinska konekcija (RDP, SSH, FTP, Win-RM, itd.)

Kada dobijete neke kredencijale, možete proveriti da li imate pristup bilo kojoj mašini. U tom smislu, možete koristiti CrackMapExec da pokušate povezivanje na nekoliko servera sa različitim protokolima, u skladu sa vašim skeniranjem portova.

Lokalno Eskaliranje Privilegija

Ako imate kompromitovane kredencijale ili sesiju kao običan domen korisnik i imate pristup sa ovim korisnikom bilo kojoj mašini u domenu, trebali biste pokušati da pronađete način da eskalirate privilegije lokalno i tražite kredencijale. To je zato što samo sa lokalnim administratorskim privilegijama možete dumpovati hash-eve drugih korisnika u memoriji (LSASS) i lokalno (SAM).

Postoji cela stranica u ovoj knjizi o lokalnom eskaliranju privilegija u Windows-u i checklist. Takođe, ne zaboravite da koristite WinPEAS.

Trenutne Sesijske Karte

Veoma je malo verovatno da ćete pronaći karte u trenutnom korisniku koje vam daju dozvolu za pristup neočekivanim resursima, ali možete proveriti:

bash
## List all tickets (if not admin, only current user tickets)
.\Rubeus.exe triage
## Dump the interesting one by luid
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

NTLM Relay

Ako ste uspeli da enumerišete aktivni direktorijum, imaćete više emailova i bolje razumevanje mreže. Možda ćete moći da primorate NTLM relay napade.

Looks for Creds in Computer Shares | SMB Shares

Sada kada imate neke osnovne kredencijale, trebali biste proveriti da li možete pronaći bilo koje zanimljive datoteke koje se dele unutar AD. To možete uraditi ručno, ali je to veoma dosadan ponavljajući zadatak (a još više ako pronađete stotine dokumenata koje treba da proverite).

Follow this link to learn about tools you could use.

Steal NTLM Creds

Ako možete pristupiti drugim računarima ili deljenjima, mogli biste postaviti datoteke (kao što je SCF datoteka) koje, ako se nekako pristupe, pokrenu NTLM autentifikaciju protiv vas, tako da možete ukrasti NTLM izazov da biste ga razbili:

Places to steal NTLM creds

CVE-2021-1675/CVE-2021-34527 PrintNightmare

Ova ranjivost je omogućila bilo kojem autentifikovanom korisniku da kompromituje kontroler domena.

PrintNightmare

Privilege escalation on Active Directory WITH privileged credentials/session

Za sledeće tehnike običan korisnik domena nije dovoljan, potrebne su vam posebne privilegije/kredencijali da biste izvršili ove napade.

Hash extraction

Nadamo se da ste uspeli da kompromitujete neki lokalni admin nalog koristeći AsRepRoast, Password Spraying, Kerberoast, Responder uključujući relaying, EvilSSDP, escalating privileges locally.
Zatim, vreme je da izvučete sve hash-ove iz memorije i lokalno.
Read this page about different ways to obtain the hashes.

Pass the Hash

Kada imate hash korisnika, možete ga koristiti da imituje.
Trebalo bi da koristite neki alat koji će izvršiti NTLM autentifikaciju koristeći taj hash, ili možete kreirati novu sessionlogon i ubaciti taj hash unutar LSASS, tako da kada se izvrši bilo koja NTLM autentifikacija, taj hash će biti korišćen. Poslednja opcija je ono što radi mimikatz.
Read this page for more information.

Over Pass the Hash/Pass the Key

Ovaj napad ima za cilj da koristi NTLM hash korisnika za zahtev Kerberos karata, kao alternativu uobičajenom Pass The Hash preko NTLM protokola. Stoga, ovo bi moglo biti posebno korisno u mrežama gde je NTLM protokol onemogućen i gde je samo Kerberos dozvoljen kao autentifikacioni protokol.

Over Pass the Hash/Pass the Key

Pass the Ticket

U metodi napada Pass The Ticket (PTT), napadači kradu autentifikacionu kartu korisnika umesto njihovih lozinki ili hash vrednosti. Ova ukradena karta se zatim koristi da imitira korisnika, stičući neovlašćen pristup resursima i uslugama unutar mreže.

Pass the Ticket

Credentials Reuse

Ako imate hash ili lozinku lokalnog administrator-a, trebali biste pokušati da se prijavite lokalno na druge PC-e sa njom.

bash
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

warning

Imajte na umu da je ovo prilično bučno i da bi LAPS to ublažio.

MSSQL Abuse & Trusted Links

Ako korisnik ima privilegije da pristupi MSSQL instancama, mogao bi da ih koristi za izvršavanje komandi na MSSQL hostu (ako radi kao SA), da ukrade NetNTLM hash ili čak da izvrši relay napad.
Takođe, ako je MSSQL instanca poverljiva (link baze podataka) od strane druge MSSQL instance. Ako korisnik ima privilegije nad poverljivom bazom podataka, moći će da iskoristi poverljivu vezu za izvršavanje upita i na drugoj instanci. Ove poverljive veze mogu se povezivati i u nekom trenutku korisnik bi mogao da pronađe pogrešno konfigurisanu bazu podataka gde može izvršavati komande.
Veze između baza podataka funkcionišu čak i preko šuma poverenja.

MSSQL AD Abuse

Unconstrained Delegation

Ako pronađete bilo koji objekat računara sa atributom ADS_UF_TRUSTED_FOR_DELEGATION i imate privilegije domena na računaru, moći ćete da izvučete TGT-ove iz memorije svih korisnika koji se prijavljuju na računar.
Dakle, ako se Domain Admin prijavi na računar, moći ćete da izvučete njegov TGT i da se pretvarate da je on koristeći Pass the Ticket.
Zahvaljujući ograničenoj delegaciji, mogli biste čak i automatski da kompromitujete Print Server (nadamo se da će to biti DC).

Unconstrained Delegation

Constrained Delegation

Ako je korisniku ili računaru dozvoljena "Ograničena delegacija", moći će da se pretvara u bilo kog korisnika kako bi pristupio nekim uslugama na računaru.
Tada, ako kompromitujete hash ovog korisnika/računara, moći ćete da se pretvarate u bilo kog korisnika (čak i administratore domena) kako biste pristupili nekim uslugama.

Constrained Delegation

Resourced-based Constrain Delegation

Imati WRITE privilegiju na objektu Active Directory-a udaljenog računara omogućava postizanje izvršenja koda sa povišenim privilegijama:

Resource-based Constrained Delegation

Permissions/ACLs Abuse

Kompromitovani korisnik mogao bi imati neke zanimljive privilegije nad nekim objektima domena koje bi vam mogle omogućiti da napredujete lateralno/povećate privilegije.

Abusing Active Directory ACLs/ACEs

Printer Spooler service abuse

Otkrivanje Spool servisa koji sluša unutar domena može se iskoristiti za sticanje novih kredencijala i povećanje privilegija.

Force NTLM Privileged Authentication

Third party sessions abuse

Ako drugi korisnici pristupaju kompromitovanoj mašini, moguće je prikupiti kredencijale iz memorije i čak ubaciti beacon-e u njihove procese da bi se pretvarali da su oni.
Obično korisnici pristupaju sistemu putem RDP-a, tako da ovde imate kako da izvršite nekoliko napada na RDP sesije trećih strana:

RDP Sessions Abuse

LAPS

LAPS pruža sistem za upravljanje lokalnom lozinkom administratora na računarima pridruženim domenu, osiguravajući da je randomizovana, jedinstvena i često menjana. Ove lozinke se čuvaju u Active Directory-u, a pristup se kontroliše putem ACL-a samo za ovlašćene korisnike. Sa dovoljnim privilegijama za pristup ovim lozinkama, prelazak na druge računare postaje moguć.

LAPS

Certificate Theft

Prikupljanje sertifikata sa kompromitovane mašine može biti način za povećanje privilegija unutar okruženja:

AD CS Certificate Theft

Certificate Templates Abuse

Ako su ranjivi šabloni konfigurisani, moguće ih je iskoristiti za povećanje privilegija:

AD CS Domain Escalation

Post-exploitation with high privilege account

Dumping Domain Credentials

Kada dobijete Domain Admin ili još bolje Enterprise Admin privilegije, možete izvući domen bazu podataka: ntds.dit.

Više informacija o DCSync napadu možete pronaći ovde.

Više informacija o tome kako ukrasti NTDS.dit možete pronaći ovde

Privesc as Persistence

Neke od tehnika o kojima je ranije razgovarano mogu se koristiti za postizanje trajnosti.
Na primer, mogli biste:

bash
Set-DomainObject -Identity <username> -Set @{serviceprincipalname="fake/NOTHING"}r
bash
Set-DomainObject -Identity <username> -XOR @{UserAccountControl=4194304}
  • Dodeliti DCSync privilegije korisniku
bash
Add-DomainObjectAcl -TargetIdentity "DC=SUB,DC=DOMAIN,DC=LOCAL" -PrincipalIdentity bfarmer -Rights DCSync

Silver Ticket

Silver Ticket napad kreira legitimnu Ticket Granting Service (TGS) kartu za određenu uslugu koristeći NTLM hash (na primer, hash PC naloga). Ova metoda se koristi za pristup privilegijama usluge.

Silver Ticket

Golden Ticket

Golden Ticket napad uključuje napadača koji dobija pristup NTLM hash-u krbtgt naloga u Active Directory (AD) okruženju. Ovaj nalog je poseban jer se koristi za potpisivanje svih Ticket Granting Tickets (TGTs), koji su neophodni za autentifikaciju unutar AD mreže.

Kada napadač dobije ovaj hash, može kreirati TGT-ove za bilo koji nalog koji izabere (Silver ticket napad).

Golden Ticket

Diamond Ticket

Ovi su poput zlatnih karata, ali su krivotvoreni na način koji zaobilazi uobičajene mehanizme za otkrivanje zlatnih karata.

Diamond Ticket

Certificates Account Persistence

Imati sertifikate naloga ili biti u mogućnosti da ih zatražite je veoma dobar način da se zadržite u korisničkom nalogu (čak i ako promeni lozinku):

AD CS Account Persistence

Certificates Domain Persistence

Korišćenje sertifikata je takođe moguće za postizanje trajnosti sa visokim privilegijama unutar domena:

AD CS Domain Persistence

AdminSDHolder Group

AdminSDHolder objekat u Active Directory-u osigurava bezbednost privilegovanih grupa (kao što su Domain Admins i Enterprise Admins) primenom standardnog Access Control List (ACL) na ovim grupama kako bi se sprečile neovlašćene promene. Međutim, ova funkcija se može iskoristiti; ako napadač izmeni ACL AdminSDHolder-a da bi dao potpuni pristup običnom korisniku, taj korisnik dobija opsežnu kontrolu nad svim privilegovanim grupama. Ova mera bezbednosti, koja je zamišljena da zaštiti, može se tako obrnuti, omogućavajući neovlašćen pristup osim ako se ne prati pažljivo.

Više informacija o AdminDSHolder grupi ovde.

DSRM Credentials

Unutar svakog Domain Controller (DC), postoji lokalni administratorski nalog. Dobijanjem administratorskih prava na takvoj mašini, lokalni Administrator hash može se izvući koristeći mimikatz. Nakon toga, neophodna je izmena registra da bi se omogućila upotreba ove lozinke, omogućavajući daljinski pristup lokalnom administratorskom nalogu.

DSRM Credentials

ACL Persistence

Možete dati neke posebne privilegije korisniku nad nekim specifičnim objektima domena koje će omogućiti korisniku da poveća privilegije u budućnosti.

Abusing Active Directory ACLs/ACEs

Security Descriptors

Sigurnosni deskriptori se koriste za čuvanje privilegija koje objekat ima nad objektom. Ako možete samo napraviti malo promene u sigurnosnom deskriptoru objekta, možete dobiti veoma zanimljive privilegije nad tim objektom bez potrebe da budete član privilegovane grupe.

Security Descriptors

Skeleton Key

Izmenite LSASS u memoriji da uspostavite univerzalnu lozinku, omogućavajući pristup svim domena nalozima.

Skeleton Key

Custom SSP

Saaznajte šta je SSP (Security Support Provider) ovde.
Možete kreirati svoj vlastiti SSP da prikupite u čistom tekstu kredencijale korišćene za pristup mašini.

Custom SSP

DCShadow

Registruje novi Domain Controller u AD i koristi ga za guranjem atributa (SIDHistory, SPNs...) na određenim objektima bez ostavljanja bilo kakvih logova u vezi sa izmenama. Potrebne su vam DA privilegije i da budete unutar root domena.
Imajte na umu da ako koristite pogrešne podatke, pojaviće se prilično ružni logovi.

DCShadow

LAPS Persistence

Ranije smo razgovarali o tome kako povećati privilegije ako imate dovoljno dozvola za čitanje LAPS lozinki. Međutim, ove lozinke se takođe mogu koristiti za održavanje trajnosti.
Proverite:

LAPS

Forest Privilege Escalation - Domain Trusts

Microsoft gleda na Forest kao na bezbednosnu granicu. To implicira da kompromitovanje jednog domena može potencijalno dovesti do kompromitovanja celog Forest-a.

Basic Information

domen poverenje je bezbednosni mehanizam koji omogućava korisniku iz jednog domena da pristupi resursima u drugom domenu. Suštinski, stvara vezu između sistema autentifikacije dva domena, omogućavajući verifikaciju autentifikacije da teče neometano. Kada domeni postave poverenje, razmenjuju i zadržavaju specifične ključeve unutar svojih Domain Controllers (DCs), koji su ključni za integritet poverenja.

U tipičnom scenariju, ako korisnik želi da pristupi usluzi u poverljivom domenu, prvo mora da zatraži posebnu kartu poznatu kao inter-realm TGT od svog domena DC. Ova TGT je enkriptovana sa zajedničkim ključem koji su oba domena dogovorila. Korisnik zatim predstavlja ovu TGT DC-u poverljivog domena da bi dobio kartu za uslugu (TGS). Nakon uspešne validacije inter-realm TGT od strane DC-a poverljivog domena, izdaje TGS, dajući korisniku pristup usluzi.

Koraci:

  1. klijentski računar u Domen 1 započinje proces koristeći svoj NTLM hash da zatraži Ticket Granting Ticket (TGT) od svog Domain Controller (DC1).
  2. DC1 izdaje novu TGT ako je klijent uspešno autentifikovan.
  3. Klijent zatim traži inter-realm TGT od DC1, koji je potreban za pristup resursima u Domen 2.
  4. Inter-realm TGT je enkriptovan sa trust key koji je podeljen između DC1 i DC2 kao deo dvosmernog poverenja domena.
  5. Klijent uzima inter-realm TGT do Domain 2's Domain Controller (DC2).
  6. DC2 verifikuje inter-realm TGT koristeći svoj zajednički trust key i, ako je važeći, izdaje Ticket Granting Service (TGS) za server u Domenu 2 kojem klijent želi da pristupi.
  7. Na kraju, klijent predstavlja ovaj TGS serveru, koji je enkriptovan sa hash-om serverovog naloga, da bi dobio pristup usluzi u Domenu 2.

Different trusts

Važno je primetiti da poverenje može biti jednostrano ili dvostrano. U dvostranoj opciji, oba domena će se međusobno poveravati, ali u jednostranom poverenju jedan od domena će biti poverljiv, a drugi pouzdani domen. U poslednjem slučaju, moći ćete da pristupite resursima unutar pouzdanog domena samo iz poverljivog.

Ako Domen A poverava Domenu B, A je pouzdani domen, a B je poverljivi. Štaviše, u Domenu A, ovo bi bilo Outbound trust; a u Domenu B, ovo bi bilo Inbound trust.

Različite poverljive veze

  • Parent-Child Trusts: Ovo je uobičajena postavka unutar iste šume, gde dete domen automatski ima dvosmerno tranzitivno poverenje sa svojim roditeljskim domenom. Suštinski, to znači da zahtevi za autentifikaciju mogu teći neometano između roditelja i deteta.
  • Cross-link Trusts: Poznate kao "shortcut trusts", ove se uspostavljaju između domena dece kako bi se ubrzali procesi upućivanja. U složenim šumama, upućivanja za autentifikaciju obično moraju putovati do korena šume, a zatim do ciljnog domena. Kreiranjem međuveza, putovanje se skraćuje, što je posebno korisno u geografskim raspršenim okruženjima.
  • External Trusts: Ove se postavljaju između različitih, nepovezanih domena i po prirodi su ne-tranzitivne. Prema Microsoftovoj dokumentaciji, eksterni trustovi su korisni za pristup resursima u domenu izvan trenutne šume koji nije povezan šumskim poverenjem. Bezbednost se pojačava filtriranjem SID-a sa spoljnim poverenjima.
  • Tree-root Trusts: Ova poverenja se automatski uspostavljaju između korenskog domena šume i novododatog korena drveta. Iako se ne susreću često, poverenja između korena drveta su važna za dodavanje novih domena drveća u šumu, omogućavajući im da zadrže jedinstveno ime domena i osiguravajući dvosmernu tranzitivnost. Više informacija možete pronaći u Microsoftovom vodiču.
  • Forest Trusts: Ova vrsta poverenja je dvosmerno tranzitivno poverenje između dva korenska domena šume, takođe primenjujući filtriranje SID-a kako bi se poboljšale mere bezbednosti.
  • MIT Trusts: Ova poverenja se uspostavljaju sa ne-Windows, RFC4120-kompatibilnim Kerberos domenima. MIT poverenja su malo specijalizovanija i prilagođena su okruženjima koja zahtevaju integraciju sa Kerberos-baziranim sistemima van Windows ekosistema.

Ostale razlike u poverljivim odnosima

  • Poverljivi odnos može biti tranzitivan (A poverava B, B poverava C, onda A poverava C) ili ne-tranzitivan.
  • Poverljivi odnos može biti postavljen kao dvosmerno poverenje (oba se međusobno poveravaju) ili kao jednostrano poverenje (samo jedan od njih se poverava drugom).

Attack Path

  1. Enumerate poverljive odnose
  2. Proverite da li bilo koji sigurnosni princip (korisnik/grupa/računar) ima pristup resursima drugog domena, možda putem ACE unosa ili tako što je u grupama drugog domena. Potražite odnose između domena (poverenje je verovatno stvoreno za ovo).
  3. Kerberoast u ovom slučaju bi mogao biti još jedna opcija.
  4. Kompromitujte naloge koji mogu preći između domena.

Napadači bi mogli pristupiti resursima u drugom domenu putem tri osnovna mehanizma:

  • Članstvo u lokalnoj grupi: Principi mogu biti dodati lokalnim grupama na mašinama, kao što je grupa “Administratori” na serveru, dajući im značajnu kontrolu nad tom mašinom.
  • Članstvo u grupi stranog domena: Principi takođe mogu biti članovi grupa unutar stranog domena. Međutim, efikasnost ove metode zavisi od prirode poverenja i obima grupe.
  • Access Control Lists (ACLs): Principi mogu biti navedeni u ACL, posebno kao entiteti u ACEs unutar DACL, pružajući im pristup specifičnim resursima. Za one koji žele da se dublje upuste u mehaniku ACL-a, DACL-a i ACE-a, beleška pod nazivom “An ACE Up The Sleeve” je neprocenjiv resurs.

Find external users/groups with permissions

Možete proveriti CN=<user_SID>,CN=ForeignSecurityPrincipals,DC=domain,DC=com da biste pronašli strane sigurnosne principe u domenu. Ovo će biti korisnici/grupe iz spoljnog domena/šume.

Možete proveriti ovo u Bloodhound ili koristeći powerview:

powershell
# Get users that are i groups outside of the current domain
Get-DomainForeignUser

# Get groups inside a domain with users our
Get-DomainForeignGroupMember

Child-to-Parent forest privilege escalation

bash
# Fro powerview
Get-DomainTrust

SourceName      : sub.domain.local    --> current domain
TargetName      : domain.local        --> foreign domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : WITHIN_FOREST       --> WITHIN_FOREST: Both in the same forest
TrustDirection  : Bidirectional       --> Trust direction (2ways in this case)
WhenCreated     : 2/19/2021 1:28:00 PM
WhenChanged     : 2/19/2021 1:28:00 PM

Drugi načini za enumeraciju domena poverenja:

bash
# Get DCs
nltest /dsgetdc:<DOMAIN>

# Get all domain trusts
nltest /domain_trusts /all_trusts /v

# Get all trust of a domain
nltest /dclist:sub.domain.local
nltest /server:dc.sub.domain.local /domain_trusts /all_trusts

warning

Postoje 2 poverena ključa, jedan za Child --> Parent i drugi za Parent --> Child.
Možete ih koristiti za trenutnu domenu sa:

Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.my.domain.local
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\mcorp$"'

SID-History Injection

Povećajte privilegije kao Enterprise admin na child/parent domeni zloupotrebom poverenja sa SID-History injekcijom:

SID-History Injection

Iskoristite pisanu Configuration NC

Razumevanje kako se Configuration Naming Context (NC) može iskoristiti je ključno. Configuration NC služi kao centralni repozitorijum za podatke o konfiguraciji širom šume u Active Directory (AD) okruženjima. Ovi podaci se repliciraju na svaki Domain Controller (DC) unutar šume, pri čemu pisani DC-ovi održavaju pisanu kopiju Configuration NC. Da bi se ovo iskoristilo, potrebno je imati SYSTEM privilegije na DC-u, po mogućstvu na child DC-u.

Povežite GPO sa root DC lokacijom

Kontejner lokacija Configuration NC uključuje informacije o svim računarima pridruženim domeni unutar AD šume. Operišući sa SYSTEM privilegijama na bilo kojem DC-u, napadači mogu povezati GPO-ove sa root DC lokacijama. Ova akcija potencijalno kompromituje root domenu manipulišući politikama primenjenim na ovim lokacijama.

Za detaljne informacije, može se istražiti istraživanje o Bypassing SID Filtering.

Kompromitujte bilo koji gMSA u šumi

Vektor napada uključuje ciljanje privilegovanih gMSA unutar domena. KDS Root ključ, koji je ključan za izračunavanje lozinki gMSA, čuva se unutar Configuration NC. Sa SYSTEM privilegijama na bilo kojem DC-u, moguće je pristupiti KDS Root ključu i izračunati lozinke za bilo koji gMSA širom šume.

Detaljna analiza može se naći u diskusiji o Golden gMSA Trust Attacks.

Napad na promenu šeme

Ova metoda zahteva strpljenje, čekajući na kreiranje novih privilegovanih AD objekata. Sa SYSTEM privilegijama, napadač može izmeniti AD šemu kako bi dodelio bilo kojem korisniku potpunu kontrolu nad svim klasama. Ovo bi moglo dovesti do neovlašćenog pristupa i kontrole nad novokreiranim AD objektima.

Dalje čitanje je dostupno o Schema Change Trust Attacks.

Od DA do EA sa ADCS ESC5

ADCS ESC5 ranjivost cilja kontrolu nad objektima javne infrastrukture ključeva (PKI) kako bi se kreirala šablon sertifikata koji omogućava autentifikaciju kao bilo koji korisnik unutar šume. Kako PKI objekti borave u Configuration NC, kompromitovanje pisanog child DC-a omogućava izvršenje ESC5 napada.

Više detalja o ovome može se pročitati u From DA to EA with ESC5. U scenarijima bez ADCS, napadač ima mogućnost da postavi potrebne komponente, kao što je diskutovano u Escalating from Child Domain Admins to Enterprise Admins.

Eksterna šuma domena - Jednosmerno (ulazno) ili dvosmerno

bash
Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

U ovom scenariju vaša domena je poverena spoljašnjoj, što vam daje neodređene dozvole nad njom. Moraćete da pronađete koji principi vaše domene imaju koji pristup spoljašnjoj domeni i zatim pokušati da to iskoristite:

External Forest Domain - OneWay (Inbound) or bidirectional

Spoljašnja šuma domena - Jednosmerno (izlazno)

bash
Get-DomainTrust -Domain current.local

SourceName      : current.local   --> Current domain
TargetName      : external.local  --> Destination domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : FOREST_TRANSITIVE
TrustDirection  : Outbound        --> Outbound trust
WhenCreated     : 2/19/2021 10:15:24 PM
WhenChanged     : 2/19/2021 10:15:24 PM

U ovom scenariju vaša domena pouzdava neka prava principalu iz drugih domena.

Međutim, kada je domena poverena od strane poverene domene, poverena domena kreira korisnika sa predvidivim imenom koji koristi lozinku poverene lozinke. Što znači da je moguće pristupiti korisniku iz poverene domene kako bi se ušlo u poverenu da bi se enumerisalo i pokušalo da se eskalira više prava:

External Forest Domain - One-Way (Outbound)

Drugi način da se kompromituje poverena domena je da se pronađe SQL trusted link kreiran u suprotnoj pravcu od poverenja domena (što nije baš uobičajeno).

Još jedan način da se kompromituje poverena domena je da se čeka na mašini na kojoj korisnik iz poverene domene može pristupiti da se prijavi putem RDP. Tada bi napadač mogao da ubaci kod u proces RDP sesije i pristupi izvornoj domeni žrtve odatle.
Štaviše, ako je žrtva montirala svoj hard disk, iz RDP sesije proces napadača mogao bi da sačuva backdoor-e u folderu za pokretanje hard diska. Ova tehnika se naziva RDPInception.

RDP Sessions Abuse

Ublažavanje zloupotrebe poverenja domena

SID filtriranje:

  • Rizik od napada koji koriste SID istorijski atribut preko šuma poverenja je ublažen SID filtriranjem, koje je podrazumevano aktivirano na svim međušumskim poverenjima. Ovo se zasniva na pretpostavci da su unutrašnja poverenja šuma sigurna, smatrajući šumu, a ne domenu, kao bezbednosnu granicu prema stavu Microsoft-a.
  • Međutim, postoji caka: SID filtriranje može ometati aplikacije i pristup korisnicima, što dovodi do povremene deaktivacije.

Selektivna autentifikacija:

  • Za međušumska poverenja, korišćenje selektivne autentifikacije osigurava da korisnici iz dve šume nisu automatski autentifikovani. Umesto toga, potrebne su eksplicitne dozvole za korisnike da pristupe domenima i serverima unutar poverene domene ili šume.
  • Važno je napomenuti da ove mere ne štite od eksploatacije zapisivog Konfiguracionog Nazivnog Konteksta (NC) ili napada na račun poverenja.

Više informacija o poverenjima domena na ired.team.

AD -> Azure & Azure -> AD

Az AD Connect - Hybrid Identity - HackTricks Cloud

Neke Opšte Odbrane

Saznajte više o tome kako zaštititi kredencijale ovde.

Defensivne mere za zaštitu kredencijala

  • Ograničenja za Administratore Domeni: Preporučuje se da Administratori Domeni mogu da se prijave samo na Kontrolere Domeni, izbegavajući njihovu upotrebu na drugim hostovima.
  • Prava Servisnog Računa: Servisi ne bi trebali da se pokreću sa pravima Administratora Domeni (DA) kako bi se održala bezbednost.
  • Temporalno Ograničenje Prava: Za zadatke koji zahtevaju DA prava, njihovo trajanje bi trebalo da bude ograničeno. To se može postići: Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)

Implementacija Tehnika Obmane

  • Implementacija obmane uključuje postavljanje zamki, poput mamac korisnika ili računara, sa karakteristikama kao što su lozinke koje ne isteknu ili su označene kao Poverene za Delegaciju. Detaljan pristup uključuje kreiranje korisnika sa specifičnim pravima ili dodavanje u grupe sa visokim privilegijama.
  • Praktičan primer uključuje korišćenje alata kao što su: Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose
  • Više o implementaciji tehnika obmane može se naći na Deploy-Deception na GitHub-u.

Identifikacija Obmane

  • Za Korisničke Objekte: Sumnjivi indikatori uključuju atipični ObjectSID, retke prijave, datume kreiranja i nizak broj loših lozinki.
  • Opšti Indikatori: Upoređivanje atributa potencijalnih mamac objekata sa onima pravih može otkriti neslaganja. Alati poput HoneypotBuster mogu pomoći u identifikaciji takvih obmana.

Obilaženje Sistema Detekcije

  • Obilaženje Microsoft ATA Detekcije:
  • Enumeracija Korisnika: Izbegavanje enumeracije sesija na Kontrolerima Domeni kako bi se sprečila ATA detekcija.
  • Impersonacija Tiketa: Korišćenje aes ključeva za kreiranje tiketa pomaže u izbegavanju detekcije ne prebacujući se na NTLM.
  • DCSync Napadi: Preporučuje se izvršavanje sa non-Domain Controller-a kako bi se izbegla ATA detekcija, jer direktno izvršavanje sa Kontrolera Domeni će pokrenuti upozorenja.

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks