Active Directory Methodology

Reading time: 34 minutes

Basic overview

Active Directory служить основною технологією, що дозволяє мережевим адміністраторам ефективно створювати та керувати доменами, користувачами та об'єктами в межах мережі. Вона спроектована для масштабування, полегшуючи організацію великої кількості користувачів у керовані групи та підгрупи, контролюючи права доступу на різних рівнях.

Структура Active Directory складається з трьох основних рівнів: домени, дерева та ліси. Домен охоплює колекцію об'єктів, таких як користувачі або пристрої, які ділять спільну базу даних. Дерева — це групи цих доменів, пов'язані спільною структурою, а ліс представляє колекцію кількох дерев, з'єднаних через довірчі відносини, формуючи найвищий рівень організаційної структури. Конкретні права доступу та права на зв'язок можуть бути призначені на кожному з цих рівнів.

Ключові концепції в Active Directory включають:

1. Directory – Містить всю інформацію, що стосується об'єктів Active Directory.
2. Object – Позначає сутності в каталозі, включаючи користувачів, групи або спільні папки.
3. Domain – Служить контейнером для об'єктів каталогу, з можливістю для кількох доменів співіснувати в межах лісу, кожен з яких підтримує свою власну колекцію об'єктів.
4. Tree – Групування доменів, які ділять спільний кореневий домен.
5. Forest – Вершина організаційної структури в Active Directory, що складається з кількох дерев з довірчими відносинами між ними.

Active Directory Domain Services (AD DS) охоплює ряд послуг, критично важливих для централізованого управління та зв'язку в межах мережі. Ці послуги включають:

1. Domain Services – Централізує зберігання даних і керує взаємодією між користувачами та доменами, включаючи функції автентифікації та пошуку.
2. Certificate Services – Контролює створення, розподіл та управління безпечними цифровими сертифікатами.
3. Lightweight Directory Services – Підтримує програми, що використовують каталог, через LDAP протокол.
4. Directory Federation Services – Надає можливості одного входу для автентифікації користувачів через кілька веб-додатків в одній сесії.
5. Rights Management – Допомагає захистити авторські матеріали, регулюючи їх несанкціоноване розповсюдження та використання.
6. DNS Service – Критично важливий для розв'язання імен доменів.

Для більш детального пояснення перегляньте: TechTerms - Визначення Active Directory

Kerberos Authentication

Щоб навчитися, як атакувати AD, вам потрібно дуже добре розуміти процес автентифікації Kerberos.
Прочитайте цю сторінку, якщо ви ще не знаєте, як це працює.

Cheat Sheet

Ви можете відвідати https://wadcoms.github.io/, щоб швидко ознайомитися з командами, які ви можете виконати для перерахунку/експлуатації AD.

Recon Active Directory (No creds/sessions)

Якщо у вас є доступ до середовища AD, але немає жодних облікових даних/сесій, ви можете:

• Pentest the network:
• Сканувати мережу, знаходити машини та відкриті порти та намагатися експлуатувати вразливості або витягувати облікові дані з них (наприклад, принтери можуть бути дуже цікавими цілями).
• Перерахування DNS може надати інформацію про ключові сервери в домені, такі як веб, принтери, спільні ресурси, vpn, медіа тощо.
• gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
• Ознайомтеся з Загальною Методологією Пентестингу, щоб знайти більше інформації про те, як це зробити.
• Перевірте доступ без облікових даних та доступ Гостя на smb-сервісах (це не спрацює на сучасних версіях Windows):
• enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
• smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
• smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
• Більш детальний посібник про те, як перерахувати SMB-сервер, можна знайти тут:

139,445 - Pentesting SMB

• Enumerate Ldap
• nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
• Більш детальний посібник про те, як перерахувати LDAP, можна знайти тут (зверніть особливу увагу на анонімний доступ):

389, 636, 3268, 3269 - Pentesting LDAP

• Poison the network
• Збирати облікові дані імітуючи сервіси з Responder
• Отримати доступ до хоста, зловживаючи атакою реле
• Збирати облікові дані викриваючи підроблені UPnP сервіси з evil-SSDP
• OSINT:
• Витягувати імена користувачів/імена з внутрішніх документів, соціальних мереж, сервісів (в основному веб) в межах доменних середовищ, а також з публічно доступних джерел.
• Якщо ви знайдете повні імена працівників компанії, ви можете спробувати різні конвенції імен користувачів AD (**читайте це**). Найбільш поширені конвенції: NameSurname, Name.Surname, NamSur (3 літери з кожного), Nam.Sur, NSurname, N.Surname, SurnameName, Surname.Name, SurnameN, Surname.N, 3 випадкові літери та 3 випадкові цифри (abc123).
• Інструменти:
• w0Tx/generate-ad-username
• urbanadventurer/username-anarchy

User enumeration

• Анонімний SMB/LDAP enum: Перевірте сторінки пентестингу SMB та пентестингу LDAP.
• Kerbrute enum: Коли запитується недійсне ім'я користувача, сервер відповість, використовуючи код помилки Kerberos KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN, що дозволяє нам визначити, що ім'я користувача було недійсним. Дійсні імена користувачів викличуть або TGT в AS-REP відповіді, або помилку KRB5KDC_ERR_PREAUTH_REQUIRED, що вказує на те, що користувачеві потрібно виконати попередню автентифікацію.
• Без автентифікації проти MS-NRPC: Використання auth-level = 1 (Без автентифікації) проти інтерфейсу MS-NRPC (Netlogon) на контролерах домену. Метод викликає функцію DsrGetDcNameEx2 після прив'язки інтерфейсу MS-NRPC, щоб перевірити, чи існує користувач або комп'ютер без жодних облікових даних. Інструмент NauthNRPC реалізує цей тип перерахунку. Дослідження можна знайти тут

./kerbrute_linux_amd64 userenum -d lab.ropnop.com --dc 10.10.10.10 usernames.txt #From https://github.com/ropnop/kerbrute/releases

nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='DOMAIN'" <IP>
Nmap -p 88 --script=krb5-enum-users --script-args krb5-enum-users.realm='<domain>',userdb=/root/Desktop/usernames.txt <IP>

msf> use auxiliary/gather/kerberos_enumusers

crackmapexec smb dominio.es  -u '' -p '' --users | awk '{print $4}' | uniq
python3 nauth.py -t target -u users_file.txt #From https://github.com/sud0Ru/NauthNRPC

• OWA (Outlook Web Access) Server

Якщо ви знайшли один з цих серверів у мережі, ви також можете виконати перерахунок користувачів проти нього. Наприклад, ви можете використовувати інструмент MailSniper:

ipmo C:\Tools\MailSniper\MailSniper.ps1
# Get info about the domain
Invoke-DomainHarvestOWA -ExchHostname [ip]
# Enumerate valid users from a list of potential usernames
Invoke-UsernameHarvestOWA -ExchHostname [ip] -Domain [domain] -UserList .\possible-usernames.txt -OutFile valid.txt
# Password spraying
Invoke-PasswordSprayOWA -ExchHostname [ip] -UserList .\valid.txt -Password Summer2021
# Get addresses list from the compromised mail
Get-GlobalAddressList -ExchHostname [ip] -UserName [domain]\[username] -Password Summer2021 -OutFile gal.txt

Знання одного або кількох імен користувачів

Отже, ви знаєте, що у вас вже є дійсне ім'я користувача, але немає паролів... Тоді спробуйте:

• ASREPRoast: Якщо у користувача немає атрибута DONT_REQ_PREAUTH, ви можете запросити AS_REP повідомлення для цього користувача, яке міститиме деякі дані, зашифровані похідною пароля користувача.
• Password Spraying: Спробуємо найпоширеніші паролі з кожним з виявлених користувачів, можливо, деякий користувач використовує поганий пароль (пам'ятайте про політику паролів!).
• Зверніть увагу, що ви також можете спрейти OWA сервери, щоб спробувати отримати доступ до поштових серверів користувачів.

Password Spraying / Brute Force

LLMNR/NBT-NS отруєння

Ви можете отримати деякі челендж хеші для злому отруєння деяких протоколів мережі:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

NTLM реле

Якщо вам вдалося перерахувати активний каталог, ви отримаєте більше електронних адрес і краще розуміння мережі. Ви можете спробувати примусити NTLM реле атаки, щоб отримати доступ до середовища AD.

Вкрасти NTLM кредити

Якщо ви можете отримати доступ до інших ПК або загальних ресурсів з нульовим або гостьовим користувачем, ви можете розмістити файли (наприклад, файл SCF), які, якщо їх якось отримають доступ, спровокують NTLM аутентифікацію проти вас, щоб ви могли вкрасти NTLM челендж для злому:

Places to steal NTLM creds

Перерахунок Active Directory ЗА допомогою облікових даних/сесії

Для цього етапу вам потрібно мати компрометовані облікові дані або сесію дійсного облікового запису домену. Якщо у вас є дійсні облікові дані або оболонка як доменний користувач, пам'ятайте, що варіанти, наведені раніше, все ще є варіантами для компрометації інших користувачів.

Перед початком аутентифікованого перерахунку ви повинні знати, що таке проблема подвійного стрибка Kerberos.

Kerberos Double Hop Problem

Перерахунок

Компрометація облікового запису є великим кроком для початку компрометації всього домену, оскільки ви зможете почати перерахунок Active Directory:

Щодо ASREPRoast, ви тепер можете знайти кожного можливого вразливого користувача, а щодо Password Spraying ви можете отримати список усіх імен користувачів і спробувати пароль компрометованого облікового запису, порожні паролі та нові перспективні паролі.

• Ви можете використовувати CMD для виконання базової розвідки
• Ви також можете використовувати powershell для розвідки, що буде менш помітно
• Ви також можете використовувати powerview для отримання більш детальної інформації
• Інший чудовий інструмент для розвідки в активному каталозі - це BloodHound. Це не дуже непомітно (залежно від методів збору, які ви використовуєте), але якщо вам це не важливо, ви повинні обов'язково спробувати. Знайдіть, де користувачі можуть RDP, знайдіть шлях до інших груп тощо.
• Інші автоматизовані інструменти для перерахунку AD: AD Explorer, ADRecon, Group3r, PingCastle.
• DNS записи AD, оскільки вони можуть містити цікаву інформацію.
• Інструмент з GUI, який ви можете використовувати для перерахунку каталогу, - це AdExplorer.exe з SysInternal Suite.
• Ви також можете шукати в LDAP базі даних за допомогою ldapsearch, щоб шукати облікові дані в полях userPassword та unixUserPassword, або навіть для Description. cf. Пароль в коментарі користувача AD на PayloadsAllTheThings для інших методів.
• Якщо ви використовуєте Linux, ви також можете перерахувати домен, використовуючи pywerview.
• Ви також можете спробувати автоматизовані інструменти, такі як:
• tomcarver16/ADSearch
• 61106960/adPEAS
• Витягування всіх користувачів домену

Дуже легко отримати всі імена користувачів домену з Windows (net user /domain, Get-DomainUser або wmic useraccount get name,sid). У Linux ви можете використовувати: GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/username або enum4linux -a -u "user" -p "password" <DC IP>

Навіть якщо цей розділ перерахунку виглядає маленьким, це найважливіша частина всього. Доступайтеся до посилань (в основному до тих, що стосуються cmd, powershell, powerview і BloodHound), навчіться, як перераховувати домен, і практикуйтеся, поки не відчуєте себе комфортно. Під час оцінки це буде ключовий момент, щоб знайти свій шлях до DA або вирішити, що нічого не можна зробити.

Kerberoast

Kerberoasting передбачає отримання TGS квитків, які використовуються службами, пов'язаними з обліковими записами користувачів, і злому їх шифрування, яке базується на паролях користувачів, офлайн.

Більше про це в:

Kerberoast

Віддалене з'єднання (RDP, SSH, FTP, Win-RM тощо)

Якщо ви отримали деякі облікові дані, ви можете перевірити, чи маєте доступ до будь-якої машини. Для цього ви можете використовувати CrackMapExec, щоб спробувати підключитися до кількох серверів з різними протоколами, відповідно до ваших сканувань портів.

Локальне підвищення привілеїв

Якщо ви компрометували облікові дані або сесію як звичайний доменний користувач і маєте доступ з цим користувачем до будь-якої машини в домені, ви повинні спробувати знайти спосіб підвищити привілеї локально та шукати облікові дані. Це тому, що тільки з правами локального адміністратора ви зможете вивантажити хеші інших користувачів в пам'яті (LSASS) та локально (SAM).

У цій книзі є повна сторінка про локальне підвищення привілеїв у Windows та контрольний список. Також не забудьте використовувати WinPEAS.

Поточні сесійні квитки

Дуже малоймовірно, що ви знайдете квитки у поточного користувача, які надають вам дозвіл на доступ до несподіваних ресурсів, але ви можете перевірити:

## List all tickets (if not admin, only current user tickets)
.\Rubeus.exe triage
## Dump the interesting one by luid
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

NTLM Relay

Якщо вам вдалося перерахувати активний каталог, ви отримаєте більше електронних листів і краще розуміння мережі. Ви можете змусити NTLM атаки реле.

Looks for Creds in Computer Shares | SMB Shares

Тепер, коли у вас є деякі базові облікові дані, ви повинні перевірити, чи можете ви знайти будь-які цікаві файли, які діляться всередині AD. Ви можете зробити це вручну, але це дуже нудне повторюване завдання (і ще більше, якщо ви знайдете сотні документів, які потрібно перевірити).

Слідуйте за цим посиланням, щоб дізнатися про інструменти, які ви можете використовувати.

Steal NTLM Creds

Якщо ви можете доступитися до інших ПК або загальних папок, ви можете розмістити файли (наприклад, файл SCF), які, якщо їх якось відкриють, запустять NTLM аутентифікацію проти вас, щоб ви могли вкрасти NTLM виклик для його зламу:

Places to steal NTLM creds

CVE-2021-1675/CVE-2021-34527 PrintNightmare

Ця вразливість дозволила будь-якому автентифікованому користувачу компрометувати контролер домену.

PrintNightmare

Privilege escalation on Active Directory WITH privileged credentials/session

Для наступних технік звичайного доменного користувача недостатньо, вам потрібні спеціальні привілеї/облікові дані для виконання цих атак.

Hash extraction

Сподіваюся, вам вдалося компрометувати деякий локальний обліковий запис адміністратора, використовуючи AsRepRoast, Password Spraying, Kerberoast, Responder включаючи реле, EvilSSDP, підвищення привілеїв локально.
Тепер час вивантажити всі хеші в пам'яті та локально.
Прочитайте цю сторінку про різні способи отримання хешів.

Pass the Hash

Якщо у вас є хеш користувача, ви можете використовувати його для імітуювання його.
Вам потрібно використовувати якийсь інструмент, який виконає NTLM аутентифікацію, використовуючи цей хеш, або ви можете створити новий sessionlogon і впровадити цей хеш всередину LSASS, так що коли будь-яка NTLM аутентифікація виконується, цей хеш буде використаний. Останній варіант - це те, що робить mimikatz.
Прочитайте цю сторінку для отримання додаткової інформації.

Over Pass the Hash/Pass the Key

Ця атака має на меті використати NTLM хеш користувача для запиту квитків Kerberos, як альтернатива звичайному Pass The Hash через протокол NTLM. Тому це може бути особливо корисно в мережах, де протокол NTLM вимкнено і лише Kerberos дозволено як протокол аутентифікації.

Over Pass the Hash/Pass the Key

Pass the Ticket

У методі атаки Pass The Ticket (PTT) зловмисники вкрадають квиток аутентифікації користувача замість їх пароля або значень хешу. Цей вкрадений квиток потім використовується для імітуювання користувача, отримуючи несанкціонований доступ до ресурсів і послуг у мережі.

Pass the Ticket

Credentials Reuse

Якщо у вас є хеш або пароль локального адміністратора, ви повинні спробувати увійти локально до інших ПК з ним.

# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

Зловживання MSSQL та Довірені Посилання

Якщо користувач має привілеї для доступу до екземплярів MSSQL, він може використовувати це для виконання команд на хості MSSQL (якщо працює як SA), викрасти NetNTLM хеш або навіть виконати атака реле.
Також, якщо екземпляр MSSQL є довіреним (посилання на базу даних) іншим екземпляром MSSQL. Якщо користувач має привілеї над довіреною базою даних, він зможе використовувати довірчі відносини для виконання запитів також в іншому екземплярі. Ці довіри можуть бути з'єднані, і в якийсь момент користувач може знайти неправильно налаштовану базу даних, де він може виконувати команди.
Посилання між базами даних працюють навіть через довіри лісу.

MSSQL AD Abuse

Неконтрольована Делегація

Якщо ви знайдете будь-який об'єкт комп'ютера з атрибутом ADS_UF_TRUSTED_FOR_DELEGATION і у вас є доменні привілеї на комп'ютері, ви зможете скинути TGT з пам'яті кожного користувача, який входить на комп'ютер.
Отже, якщо Domain Admin входить на комп'ютер, ви зможете скинути його TGT і видавати себе за нього, використовуючи Pass the Ticket.
Завдяки контрольованій делегації ви навіть можете автоматично скомпрометувати сервер друку (надіємось, це буде DC).

Unconstrained Delegation

Контрольована Делегація

Якщо користувач або комп'ютер дозволено для "Контрольованої Делегації", він зможе видавати себе за будь-якого користувача для доступу до деяких сервісів на комп'ютері.
Тоді, якщо ви скомпрометуєте хеш цього користувача/комп'ютера, ви зможете видавати себе за будь-якого користувача (навіть доменних адміністраторів) для доступу до деяких сервісів.

Constrained Delegation

Делегація на основі ресурсів

Маючи привілей WRITE на об'єкт Active Directory віддаленого комп'ютера, ви отримуєте можливість виконання коду з підвищеними привілеями:

Resource-based Constrained Delegation

Зловживання Дозволами/ACL

Скомпрометований користувач може мати деякі цікаві привілеї над деякими об'єктами домену, які можуть дозволити вам переміщатися латерально/ескалювати привілеї.

Abusing Active Directory ACLs/ACEs

Зловживання службою спулера принтерів

Виявлення служби спулера, що слухає в домені, може бути зловжито для отримання нових облікових даних та ескалації привілеїв.

Force NTLM Privileged Authentication

Зловживання сесіями третіх сторін

Якщо інші користувачі доступають до скомпрометованої машини, можливо збирати облікові дані з пам'яті і навіть впроваджувати маяки в їхні процеси для видачі себе за них.
Зазвичай користувачі отримують доступ до системи через RDP, тому ось як виконати кілька атак на сесії RDP третіх сторін:

RDP Sessions Abuse

LAPS

LAPS забезпечує систему для управління паролем локального адміністратора на комп'ютерах, що приєднані до домену, забезпечуючи його випадковість, унікальність та часту зміну. Ці паролі зберігаються в Active Directory, а доступ контролюється через ACL лише для авторизованих користувачів. З достатніми привілеями для доступу до цих паролів, стає можливим перемикання на інші комп'ютери.

LAPS

Крадіжка Сертифікатів

Збір сертифікатів з скомпрометованої машини може бути способом ескалації привілеїв у середовищі:

AD CS Certificate Theft

Зловживання Шаблонами Сертифікатів

Якщо вразливі шаблони налаштовані, їх можна зловживати для ескалації привілеїв:

AD CS Domain Escalation

Постексплуатація з обліковим записом з високими привілеями

Скидання Доменних Облікових Даних

Якщо ви отримали привілеї Domain Admin або навіть краще Enterprise Admin, ви можете скинути доменну базу даних: ntds.dit.

Більше інформації про атаку DCSync можна знайти тут.

Більше інформації про те, як вкрасти NTDS.dit можна знайти тут

Privesc як Постійність

Деякі з технік, обговорених раніше, можуть бути використані для постійності.
Наприклад, ви могли б:

• Зробити користувачів вразливими до Kerberoast

Set-DomainObject -Identity <username> -Set @{serviceprincipalname="fake/NOTHING"}r

• Зробити користувачів вразливими до ASREPRoast

Set-DomainObject -Identity <username> -XOR @{UserAccountControl=4194304}

• Надати DCSync привілеї користувачу

Add-DomainObjectAcl -TargetIdentity "DC=SUB,DC=DOMAIN,DC=LOCAL" -PrincipalIdentity bfarmer -Rights DCSync

Срібний Квиток

Атака Срібного Квитка створює легітимний квиток служби надання квитків (TGS) для конкретної служби, використовуючи NTLM хеш (наприклад, хеш облікового запису ПК). Цей метод використовується для доступу до привілеїв служби.

Silver Ticket

Золотий Квиток

Атака Золотого Квитка передбачає, що зловмисник отримує доступ до NTLM хешу облікового запису krbtgt в середовищі Active Directory (AD). Цей обліковий запис є особливим, оскільки використовується для підписання всіх квитків надання квитків (TGT), які є необхідними для аутентифікації в мережі AD.

Якщо зловмисник отримує цей хеш, він може створити TGT для будь-якого облікового запису, який вибере (атака Срібного Квитка).

Golden Ticket

Діамантовий Квиток

Ці квитки схожі на золоті, але підроблені так, що обходять звичайні механізми виявлення золотих квитків.

Diamond Ticket

Постійність Облікових Записів Сертифікатів

Маючи сертифікати облікового запису або можливість їх запитувати є дуже хорошим способом зберегти постійність в обліковому записі користувача (навіть якщо він змінює пароль):

AD CS Account Persistence

Постійність Домену Сертифікатів

Використання сертифікатів також можливе для збереження постійності з високими привілеями в домені:

AD CS Domain Persistence

Група AdminSDHolder

Об'єкт AdminSDHolder в Active Directory забезпечує безпеку привілейованих груп (таких як Domain Admins та Enterprise Admins), застосовуючи стандартний Список Контролю Доступу (ACL) до цих груп, щоб запобігти несанкціонованим змінам. Однак цю функцію можна експлуатувати; якщо зловмисник змінює ACL AdminSDHolder, щоб надати повний доступ звичайному користувачу, цей користувач отримує значний контроль над усіма привілейованими групами. Ця міра безпеки, призначена для захисту, може таким чином обернутися проти, дозволяючи неналежний доступ, якщо не контролювати її.

Більше інформації про групу AdminDSHolder тут.

Облікові Дані DSRM

У кожному Контролері Домену (DC) існує обліковий запис локального адміністратора. Отримавши права адміністратора на такій машині, хеш локального адміністратора можна витягти за допомогою mimikatz. Після цього необхідно внести зміни до реєстру, щоб дозволити використання цього пароля, що дозволяє віддалений доступ до облікового запису локального адміністратора.

DSRM Credentials

Постійність ACL

Ви можете надати деякі спеціальні дозволи користувачу над деякими конкретними об'єктами домену, які дозволять користувачу ескалювати привілеї в майбутньому.

Abusing Active Directory ACLs/ACEs

Описники Безпеки

Описники безпеки використовуються для зберігання дозволів, які має об'єкт над об'єктом. Якщо ви можете просто зробити невелику зміну в описнику безпеки об'єкта, ви можете отримати дуже цікаві привілеї над цим об'єктом без необхідності бути членом привілейованої групи.

Security Descriptors

Скелетний Ключ

Змініть LSASS в пам'яті, щоб встановити універсальний пароль, що надає доступ до всіх доменних облікових записів.

Skeleton Key

Користувацький SSP

Дізнайтеся, що таке SSP (Постачальник Підтримки Безпеки) тут.
Ви можете створити свій власний SSP, щоб захоплювати в чистому тексті облікові дані, які використовуються для доступу до машини.

Custom SSP

DCShadow

Це реєструє новий Контролер Домену в AD і використовує його для поштовху атрибутів (SIDHistory, SPNs...) на вказані об'єкти без залишення будь-яких журналів щодо модифікацій. Вам потрібні DA привілеї і бути всередині кореневого домену.
Зверніть увагу, що якщо ви використовуєте неправильні дані, з'являться досить неприємні журнали.

DCShadow

Постійність LAPS

Раніше ми обговорювали, як ескалювати привілеї, якщо у вас є достатні дозволи для читання паролів LAPS. Однак ці паролі також можуть бути використані для збереження постійності.
Перевірте:

LAPS

Ескалація Привілеїв Лісу - Доменні Довіри

Microsoft розглядає Ліс як межу безпеки. Це означає, що скомпрометування одного домену може потенційно призвести до компрометації всього Лісу.

Основна Інформація

Доменна довіра є механізмом безпеки, який дозволяє користувачу з одного домену отримувати доступ до ресурсів в іншому домені. Це фактично створює зв'язок між системами аутентифікації двох доменів, дозволяючи перевіркам аутентифікації проходити безперешкодно. Коли домени встановлюють довіру, вони обмінюються та зберігають певні ключі в своїх Контролерах Доменів (DC), які є критично важливими для цілісності довіри.

У типовій ситуації, якщо користувач має намір отримати доступ до служби в довіреному домені, спочатку він повинен запитати спеціальний квиток, відомий як міждоменний TGT, у DC свого власного домену. Цей TGT зашифрований спільним ключем, на якому обидва домени погодилися. Користувач потім представляє цей TGT DC довіреного домену, щоб отримати квиток на службу (TGS). Після успішної перевірки міждоменного TGT DC довіреного домену видає TGS, надаючи користувачу доступ до служби.

Кроки:

1. Клієнтський комп'ютер в Домені 1 починає процес, використовуючи свій NTLM хеш для запиту Квитка на Надання Квитків (TGT) у свого Контролера Домену (DC1).
2. DC1 видає новий TGT, якщо клієнт успішно аутентифікований.
3. Клієнт потім запитує міждоменний TGT у DC1, який потрібен для доступу до ресурсів у Домені 2.
4. Міждоменний TGT зашифрований спільним ключем довіри, що ділиться між DC1 та DC2 в рамках двосторонньої довіри домену.
5. Клієнт приносить міждоменний TGT до Контролера Домену 2 (DC2).
6. DC2 перевіряє міждоменний TGT, використовуючи свій спільний ключ довіри, і, якщо він дійсний, видає Квиток на Надання Квитків (TGS) для сервера в Домені 2, до якого клієнт хоче отримати доступ.
7. Нарешті, клієнт представляє цей TGS серверу, який зашифрований хешем облікового запису сервера, щоб отримати доступ до служби в Домені 2.

Різні довіри

Важливо помітити, що довіра може бути односторонньою або двосторонньою. У двосторонньому варіанті обидва домени довіряють один одному, але в односторонній довірчій відносині один з доменів буде довіреним, а інший - доверяючим. У останньому випадку ви зможете отримати доступ до ресурсів лише всередині довірчого домену з довіреного.

Якщо Домен A довіряє Домену B, A є довірчим доменом, а B - довіреним. Більше того, в Доміні A це буде Вихідна довіра; а в Доміні B це буде Вхідна довіра.

Різні довірчі відносини

• Довіри Батьків-Дітей: Це звичайна налаштування в одному лісі, де дочірній домен автоматично має двосторонню транзитивну довіру з батьківським доменом. Це означає, що запити на аутентифікацію можуть проходити безперешкодно між батьком і дитиною.
• Перехресні Довіри: Відомі як "скорочені довіри", вони встановлюються між дочірніми доменами для прискорення процесів посилання. У складних лісах запити на аутентифікацію зазвичай повинні подорожувати до кореня лісу, а потім вниз до цільового домену. Створюючи перехресні зв'язки, подорож скорочується, що особливо корисно в географічно розподілених середовищах.
• Зовнішні Довіри: Вони встановлюються між різними, не пов'язаними доменами і за своєю природою є нетранзитивними. Згідно з документацією Microsoft, зовнішні довіри корисні для доступу до ресурсів у домені поза поточним лісом, який не підключений через довіру лісу. Безпека посилюється через фільтрацію SID з зовнішніми довірами.
• Довіри Кореня Дерева: Ці довіри автоматично встановлюються між кореневим доменом лісу та новим коренем дерева, що додається. Хоча їх не часто зустрічають, довіри кореня дерева важливі для додавання нових дерев доменів до лісу, дозволяючи їм зберігати унікальне ім'я домену та забезпечуючи двосторонню транзитивність. Більше інформації можна знайти в посібнику Microsoft.
• Довіри Лісу: Цей тип довіри є двосторонньою транзитивною довірою між двома кореневими доменами лісу, також забезпечуючи фільтрацію SID для підвищення заходів безпеки.
• Довіри MIT: Ці довіри встановлюються з не-Windows, RFC4120-сумісними доменами Kerberos. Довіри MIT є дещо більш спеціалізованими і призначені для середовищ, які потребують інтеграції з системами на основі Kerberos поза екосистемою Windows.

Інші відмінності в довірчих відносинах

• Довірча відносина також може бути транзитивною (A довіряє B, B довіряє C, тоді A довіряє C) або нетранзитивною.
• Довірча відносина може бути налаштована як двостороння довіра (обидва довіряють один одному) або як одностороння довіра (лише один з них довіряє іншому).

Шлях Атаки

1. Перелічити довірчі відносини
2. Перевірте, чи має будь-який суб'єкт безпеки (користувач/група/комп'ютер) доступ до ресурсів іншого домену, можливо, через записи ACE або перебуваючи в групах іншого домену. Шукайте відносини між доменами (довіра була створена для цього, напевно).
3. У цьому випадку kerberoast може бути ще одним варіантом.
4. Скомпрометувати облікові записи, які можуть перемикатися між доменами.

Зловмисники можуть отримати доступ до ресурсів в іншому домені через три основні механізми:

• Членство в Локальних Групах: Суб'єкти можуть бути додані до локальних груп на машинах, таких як група "Адміністратори" на сервері, надаючи їм значний контроль над цією машиною.
• Членство в Групах Зовнішнього Домену: Суб'єкти також можуть бути членами груп у зовнішньому домені. Однак ефективність цього методу залежить від природи довіри та обсягу групи.
• Списки Контролю Доступу (ACL): Суб'єкти можуть бути вказані в ACL, особливо як сутності в ACE в рамках DACL, надаючи їм доступ до конкретних ресурсів. Для тих, хто хоче глибше зануритися в механіку ACL, DACL та ACE, документ під назвою “An ACE Up The Sleeve” є безцінним ресурсом.

Знайти зовнішніх користувачів/групи з дозволами

Ви можете перевірити CN=<user_SID>,CN=ForeignSecurityPrincipals,DC=domain,DC=com, щоб знайти зовнішні суб'єкти безпеки в домені. Це будуть користувачі/групи з зовнішнього домену/лісу.

Ви можете перевірити це в Bloodhound або за допомогою powerview:

# Get users that are i groups outside of the current domain
Get-DomainForeignUser

# Get groups inside a domain with users our
Get-DomainForeignGroupMember

Підвищення привілеїв з дочірнього до батьківського лісу

# Fro powerview
Get-DomainTrust

SourceName      : sub.domain.local    --> current domain
TargetName      : domain.local        --> foreign domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : WITHIN_FOREST       --> WITHIN_FOREST: Both in the same forest
TrustDirection  : Bidirectional       --> Trust direction (2ways in this case)
WhenCreated     : 2/19/2021 1:28:00 PM
WhenChanged     : 2/19/2021 1:28:00 PM

Інші способи перерахунку доменних довір:

# Get DCs
nltest /dsgetdc:<DOMAIN>

# Get all domain trusts
nltest /domain_trusts /all_trusts /v

# Get all trust of a domain
nltest /dclist:sub.domain.local
nltest /server:dc.sub.domain.local /domain_trusts /all_trusts

Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.my.domain.local
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\mcorp$"'

Впровадження SID-History

Ескалація як Enterprise admin до дочірнього/батьківського домену, зловживаючи довірою з впровадженням SID-History:

SID-History Injection

Використання записуваного Configuration NC

Розуміння того, як можна експлуатувати Configuration Naming Context (NC), є критично важливим. Configuration NC служить центральним репозиторієм для конфігураційних даних у лісі в середовищах Active Directory (AD). Ці дані реплікуються на кожен Domain Controller (DC) у лісі, при цьому записувані DC підтримують записувану копію Configuration NC. Щоб це експлуатувати, потрібно мати SYSTEM привілеї на DC, бажано на дочірньому DC.

Прив'язка GPO до кореневого сайту DC

Контейнер Sites Configuration NC містить інформацію про всі комп'ютери, що приєднані до домену, у лісі AD. Працюючи з привілеями SYSTEM на будь-якому DC, зловмисники можуть прив'язувати GPO до кореневих сайтів DC. Ця дія потенційно компрометує кореневий домен, маніпулюючи політиками, що застосовуються до цих сайтів.

Для детальної інформації можна дослідити дослідження про Bypassing SID Filtering.

Компрометація будь-якого gMSA у лісі

Вектор атаки передбачає націлювання на привілейовані gMSA в домені. Ключ KDS Root, необхідний для обчислення паролів gMSA, зберігається в Configuration NC. Маючи привілеї SYSTEM на будь-якому DC, можна отримати доступ до ключа KDS Root і обчислити паролі для будь-якого gMSA в лісі.

Детальний аналіз можна знайти в обговоренні Golden gMSA Trust Attacks.

Атака на зміну схеми

Цей метод вимагає терпіння, очікуючи створення нових привілейованих об'єктів AD. Маючи привілеї SYSTEM, зловмисник може змінити схему AD, щоб надати будь-якому користувачу повний контроль над усіма класами. Це може призвести до несанкціонованого доступу та контролю над новоствореними об'єктами AD.

Додаткову інформацію можна знайти на Schema Change Trust Attacks.

Від DA до EA з ADCS ESC5

Уразливість ADCS ESC5 націлюється на контроль над об'єктами інфраструктури відкритих ключів (PKI), щоб створити шаблон сертифіката, який дозволяє аутентифікацію як будь-який користувач у лісі. Оскільки об'єкти PKI знаходяться в Configuration NC, компрометація записуваного дочірнього DC дозволяє виконувати атаки ESC5.

Більше деталей про це можна прочитати в From DA to EA with ESC5. У сценаріях, де немає ADCS, зловмисник має можливість налаштувати необхідні компоненти, як обговорюється в Escalating from Child Domain Admins to Enterprise Admins.

Зовнішній лісовий домен - односторонній (вхідний) або двосторонній

Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

У цьому сценарії ваш домен довіряє зовнішньому, що надає вам невизначені дозволи над ним. Вам потрібно буде з'ясувати, які принципи вашого домену мають який доступ до зовнішнього домену і потім спробувати це експлуатувати:

External Forest Domain - OneWay (Inbound) or bidirectional

Зовнішній лісовий домен - односпрямований (вихідний)

Get-DomainTrust -Domain current.local

SourceName      : current.local   --> Current domain
TargetName      : external.local  --> Destination domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : FOREST_TRANSITIVE
TrustDirection  : Outbound        --> Outbound trust
WhenCreated     : 2/19/2021 10:15:24 PM
WhenChanged     : 2/19/2021 10:15:24 PM

У цьому сценарії ваш домен довіряє деяким привілеям принципу з інших доменів.

Однак, коли домен довіряє довіреному домену, довірений домен створює користувача з передбачуваним ім'ям, який використовує пароль довіреного пароля. Це означає, що можливо отримати доступ до користувача з довіреного домену, щоб потрапити всередину довіреного, щоб перерахувати його та спробувати підвищити більше привілеїв:

External Forest Domain - One-Way (Outbound)

Ще один спосіб скомпрометувати довірений домен - це знайти SQL trusted link, створений у протилежному напрямку довірчих доменів (що не є дуже поширеним).

Ще один спосіб скомпрометувати довірений домен - це чекати на машині, до якої користувач з довіреного домену може отримати доступ, щоб увійти через RDP. Тоді зловмисник може впровадити код у процес сесії RDP і отримати доступ до початкового домену жертви звідти.
Більше того, якщо жертва підключила свій жорсткий диск, з процесу сесії RDP зловмисник може зберігати бекдори у папці автозавантаження жорсткого диска. Цю техніку називають RDPInception.

RDP Sessions Abuse

Пом'якшення зловживань довірою домену

Фільтрація SID:

• Ризик атак, що використовують атрибут історії SID через довіри лісу, зменшується завдяки фільтрації SID, яка активована за замовчуванням на всіх міжлісових довірах. Це підкріплюється припущенням, що внутрішні довіри лісу є безпечними, вважаючи ліс, а не домен, як межу безпеки відповідно до позиції Microsoft.
• Однак є підводний камінь: фільтрація SID може порушити роботу додатків і доступ користувачів, що призводить до її періодичного деактивування.

Вибіркова аутентифікація:

• Для міжлісових довірів використання вибіркової аутентифікації забезпечує, що користувачі з двох лісів не аутентифікуються автоматично. Натомість для доступу до доменів і серверів у довіреному домені або лісі потрібні явні дозволи.
• Важливо зазначити, що ці заходи не захищають від експлуатації запису конфігурації, що підлягає запису (NC), або атак на обліковий запис довіри.

Більше інформації про довіри доменів на ired.team.

AD -> Azure & Azure -> AD

Az AD Connect - Hybrid Identity - HackTricks Cloud

Деякі загальні заходи захисту

Дізнайтеся більше про те, як захистити облікові дані тут.

Заходи захисту для захисту облікових даних

• Обмеження для адміністраторів домену: Рекомендується, щоб адміністраторам домену дозволялося входити лише на контролери домену, уникаючи їх використання на інших хостах.
• Привілеї облікових записів служб: Служби не повинні працювати з привілеями адміністратора домену (DA) для підтримки безпеки.
• Тимчасове обмеження привілеїв: Для завдань, що вимагають привілеїв DA, їх тривалість повинна бути обмежена. Це можна досягти за допомогою: Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)

Впровадження технік обману

• Впровадження обману передбачає встановлення пасток, таких як приманкові користувачі або комп'ютери, з такими функціями, як паролі, які не закінчуються або позначені як Довірені для делегування. Детальний підхід включає створення користувачів з конкретними правами або додавання їх до груп з високими привілеями.
• Практичний приклад включає використання інструментів, таких як: Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose
• Більше про впровадження технік обману можна знайти на Deploy-Deception на GitHub.

Виявлення обману

• Для об'єктів користувачів: Підозрілі ознаки включають нетиповий ObjectSID, рідкісні входи, дати створення та низькі кількості неправильних паролів.
• Загальні ознаки: Порівняння атрибутів потенційних приманкових об'єктів з атрибутами справжніх може виявити невідповідності. Інструменти, такі як HoneypotBuster, можуть допомогти в ідентифікації таких обманів.

Обхід систем виявлення

• Обхід виявлення Microsoft ATA:
• Перерахування користувачів: Уникнення перерахування сесій на контролерах домену, щоб запобігти виявленню ATA.
• Імітація квитків: Використання aes ключів для створення квитків допомагає уникнути виявлення, не знижуючи до NTLM.
• Атаки DCSync: Рекомендується виконувати з не-контролера домену, щоб уникнути виявлення ATA, оскільки безпосереднє виконання з контролера домену викличе сповіщення.

Посилання

• http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/
• https://www.labofapenetrationtester.com/2018/10/deploy-deception.html
• https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/child-domain-da-to-ea-in-parent-domain