Active Directory Methodology

Reading time: 50 minutes

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

Basic overview

Active Directory 作为基础技术,使 网络管理员 能够高效地创建和管理 用户对象。它被设计为可扩展,便于将大量用户组织成可管理的 子组,同时在不同级别上控制 访问权限

Active Directory 的结构由三个主要层次组成:森林。一个 包含一组对象,如 用户设备,共享一个公共数据库。 是这些域的组,按共享结构连接,而 森林 代表多个树的集合,通过 信任关系 互联,形成组织结构的最上层。可以在每个层次上指定特定的 访问通信权限

Active Directory 中的关键概念包括:

  1. 目录 – 存储与 Active Directory 对象相关的所有信息。
  2. 对象 – 指目录中的实体,包括 用户共享文件夹
  3. – 作为目录对象的容器,多个域可以在一个 森林 中共存,每个域维护自己的对象集合。
  4. – 一组共享公共根域的域。
  5. 森林 – Active Directory 中组织结构的顶点,由多个树组成,彼此之间有 信任关系

Active Directory 域服务 (AD DS) 包含一系列对网络内集中管理和通信至关重要的服务。这些服务包括:

  1. 域服务 – 集中数据存储并管理 用户 之间的交互,包括 身份验证搜索 功能。
  2. 证书服务 – 负责安全 数字证书 的创建、分发和管理。
  3. 轻量级目录服务 – 通过 LDAP 协议 支持目录启用的应用程序。
  4. 目录联合服务 – 提供 单点登录 功能,以在单个会话中对多个 Web 应用程序进行用户身份验证。
  5. 权限管理 – 通过规范其未经授权的分发和使用来帮助保护版权材料。
  6. DNS 服务 – 对 域名 的解析至关重要。

有关更详细的解释,请查看:TechTerms - Active Directory Definition

Kerberos Authentication

要学习如何 攻击 AD,您需要非常好地 理解 Kerberos 身份验证过程
如果您仍然不知道它是如何工作的,请阅读此页面。

Cheat Sheet

您可以访问 https://wadcoms.github.io/ 快速查看可以运行的命令,以枚举/利用 AD。

Recon Active Directory (No creds/sessions)

如果您仅访问 AD 环境,但没有任何凭据/会话,您可以:

  • 对网络进行渗透测试:
  • 扫描网络,查找机器和开放端口,并尝试 利用漏洞提取凭据(例如,打印机可能是非常有趣的目标)。
  • 枚举 DNS 可能会提供有关域中关键服务器的信息,如 Web、打印机、共享、VPN、媒体等。
  • gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
  • 查看一般的 渗透测试方法论 以获取有关如何执行此操作的更多信息。
  • 检查 smb 服务上的空和访客访问(这在现代 Windows 版本上不起作用):
  • enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
  • smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
  • smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
  • 有关如何枚举 SMB 服务器的更详细指南可以在这里找到:

139,445 - Pentesting SMB

  • 枚举 Ldap
  • nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
  • 有关如何枚举 LDAP 的更详细指南可以在这里找到(请 特别注意匿名访问):

389, 636, 3268, 3269 - Pentesting LDAP

User enumeration

  • 匿名 SMB/LDAP 枚举: 检查 渗透测试 SMB渗透测试 LDAP 页面。
  • Kerbrute 枚举:当请求 无效用户名 时,服务器将使用 Kerberos 错误 代码 KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN 响应,从而使我们能够确定用户名无效。 有效用户名 将引发 AS-REP 响应中的 TGT 或错误 KRB5KDC_ERR_PREAUTH_REQUIRED,指示用户需要进行预身份验证。
  • 对 MS-NRPC 的无身份验证:在域控制器上使用 auth-level = 1(无身份验证)对 MS-NRPC(Netlogon)接口进行操作。该方法在绑定 MS-NRPC 接口后调用 DsrGetDcNameEx2 函数,以检查用户或计算机是否存在而无需任何凭据。 NauthNRPC 工具实现了这种类型的枚举。研究可以在 这里 找到。
bash
./kerbrute_linux_amd64 userenum -d lab.ropnop.com --dc 10.10.10.10 usernames.txt #From https://github.com/ropnop/kerbrute/releases

nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='DOMAIN'" <IP>
Nmap -p 88 --script=krb5-enum-users --script-args krb5-enum-users.realm='<domain>',userdb=/root/Desktop/usernames.txt <IP>

msf> use auxiliary/gather/kerberos_enumusers

crackmapexec smb dominio.es  -u '' -p '' --users | awk '{print $4}' | uniq
python3 nauth.py -t target -u users_file.txt #From https://github.com/sud0Ru/NauthNRPC
  • OWA (Outlook Web Access) 服务器

如果您在网络中发现了这些服务器,您还可以对其执行 用户枚举。例如,您可以使用工具 MailSniper:

bash
ipmo C:\Tools\MailSniper\MailSniper.ps1
# Get info about the domain
Invoke-DomainHarvestOWA -ExchHostname [ip]
# Enumerate valid users from a list of potential usernames
Invoke-UsernameHarvestOWA -ExchHostname [ip] -Domain [domain] -UserList .\possible-usernames.txt -OutFile valid.txt
# Password spraying
Invoke-PasswordSprayOWA -ExchHostname [ip] -UserList .\valid.txt -Password Summer2021
# Get addresses list from the compromised mail
Get-GlobalAddressList -ExchHostname [ip] -UserName [domain]\[username] -Password Summer2021 -OutFile gal.txt

warning

你可以在 这个 GitHub 仓库 和这个 (statistically-likely-usernames) 中找到用户名列表。

然而,你应该从之前的侦查步骤中获得 公司员工的姓名。有了名字和姓氏,你可以使用脚本 namemash.py 来生成潜在的有效用户名。

知道一个或多个用户名

好的,所以你知道你已经有一个有效的用户名,但没有密码……那么尝试:

  • ASREPRoast:如果用户 没有 属性 DONT_REQ_PREAUTH,你可以 请求该用户的 AS_REP 消息,其中将包含一些由用户密码的派生加密的数据。
  • Password Spraying:让我们尝试每个发现用户的 常见密码,也许某个用户使用了一个糟糕的密码(记住密码策略!)。
  • 请注意,你也可以 喷洒 OWA 服务器 来尝试访问用户的邮件服务器。

Password Spraying / Brute Force

LLMNR/NBT-NS 中毒

你可能能够 获取 一些挑战 哈希 来破解 中毒 一些网络协议:

Spoofing LLMNR, NBT-NS, mDNS/DNS and WPAD and Relay Attacks

NTML 中继

如果你已经成功枚举了活动目录,你将拥有 更多的电子邮件和对网络的更好理解。你可能能够强制 NTML 中继攻击 来访问 AD 环境。

窃取 NTLM 凭证

如果你可以使用 null 或访客用户 访问其他 PC 或共享,你可以 放置文件(如 SCF 文件),如果以某种方式被访问,将会 触发对你的 NTML 认证,这样你就可以 窃取 NTLM 挑战 进行破解:

Places to steal NTLM creds

使用凭证/会话枚举活动目录

在这个阶段,你需要 获取有效域账户的凭证或会话。 如果你有一些有效的凭证或作为域用户的 shell,你应该记住之前给出的选项仍然是妥协其他用户的选项

在开始经过身份验证的枚举之前,你应该知道 Kerberos 双跳问题

Kerberos Double Hop Problem

枚举

成功妥协一个账户是 开始妥协整个域的重大步骤,因为你将能够开始 活动目录枚举:

关于 ASREPRoast,你现在可以找到每个可能的易受攻击用户,关于 Password Spraying,你可以获得 所有用户名的列表 并尝试妥协账户的密码、空密码和新的有前景的密码。

从 Windows 中获取所有域用户名非常简单(net user /domainGet-DomainUserwmic useraccount get name,sid)。在 Linux 中,你可以使用:GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/usernameenum4linux -a -u "user" -p "password" <DC IP>

即使这个枚举部分看起来很小,这也是最重要的部分。访问链接(主要是 cmd、powershell、powerview 和 BloodHound 的链接),学习如何枚举域并练习,直到你感到舒适。在评估期间,这将是找到通往 DA 的关键时刻,或者决定没有什么可以做的。

Kerberoast

Kerberoasting 涉及获取 TGS 票证,这些票证由与用户账户相关的服务使用,并破解其加密——这基于用户密码——离线

更多信息请参见:

Kerberoast

远程连接 (RDP, SSH, FTP, Win-RM 等)

一旦你获得了一些凭证,你可以检查是否可以访问任何 机器。为此,你可以使用 CrackMapExec 尝试通过不同协议连接到多个服务器,具体取决于你的端口扫描结果。

本地权限提升

如果你已经妥协了凭证或作为普通域用户的会话,并且你可以 使用该用户访问域中的任何机器,你应该尝试找到 本地提升权限和寻找凭证的方法。这是因为只有拥有本地管理员权限,你才能 在内存中(LSASS)和本地(SAM)转储其他用户的哈希

本书中有一整页关于 Windows 中的本地权限提升 和一个 检查表。此外,不要忘记使用 WinPEAS

当前会话票证

不太可能 在当前用户中找到 票证,使你有权限访问意外资源,但你可以检查:

bash
## List all tickets (if not admin, only current user tickets)
.\Rubeus.exe triage
## Dump the interesting one by luid
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

NTML Relay

如果你已经成功枚举了活动目录,你将会有更多的电子邮件和对网络的更好理解。你可能能够强制进行 NTML 中继攻击

在计算机共享中查找凭据

现在你有了一些基本凭据,你应该检查是否可以找到任何在 AD 中共享的有趣文件。你可以手动进行,但这是一项非常无聊的重复任务(如果你发现有数百个文档需要检查,更是如此)。

点击此链接了解你可以使用的工具。

偷取 NTLM 凭据

如果你可以访问其他 PC 或共享,你可以放置文件(如 SCF 文件),如果以某种方式被访问,将触发对你的 NTML 认证,这样你就可以窃取 NTLM 挑战以破解它:

Places to steal NTLM creds

CVE-2021-1675/CVE-2021-34527 PrintNightmare

此漏洞允许任何经过身份验证的用户破坏域控制器

PrintNightmare

在具有特权凭据/会话的 Active Directory 上进行特权提升

对于以下技术,普通域用户是不够的,你需要一些特殊的特权/凭据来执行这些攻击。

哈希提取

希望你已经成功破坏了一些本地管理员账户,使用 AsRepRoastPassword SprayingKerberoastResponder 包括中继、EvilSSDP本地提升特权
然后,是时候转储内存和本地的所有哈希。
阅读此页面以了解获取哈希的不同方法。

传递哈希

一旦你拥有用户的哈希,你可以用它来冒充该用户。
你需要使用一些工具执行使用该哈希的 NTLM 认证或者你可以创建一个新的sessionlogon注入哈希LSASS中,这样当任何NTLM 认证被执行时,该**哈希将被使用。**最后一个选项就是 mimikatz 所做的。
阅读此页面以获取更多信息。

超越传递哈希/传递密钥

此攻击旨在使用用户的 NTLM 哈希请求 Kerberos 票证,作为常见的 NTLM 协议下的传递哈希的替代方案。因此,这在禁用 NTLM 协议且仅允许Kerberos作为认证协议的网络中可能特别有用

Over Pass the Hash/Pass the Key

传递票证

传递票证 (PTT) 攻击方法中,攻击者窃取用户的认证票证而不是他们的密码或哈希值。然后使用这个被窃取的票证来冒充用户,获得对网络中资源和服务的未授权访问。

Pass the Ticket

凭据重用

如果你拥有本地管理员哈希密码,你应该尝试使用它在其他 PC 上本地登录

bash
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

warning

请注意,这非常嘈杂,并且LAPS减轻它。

MSSQL 滥用与受信任链接

如果用户有权限访问 MSSQL 实例,他可能能够利用它在 MSSQL 主机上执行命令(如果以 SA 身份运行),窃取 NetNTLM 哈希,甚至执行中继****攻击
此外,如果 MSSQL 实例被其他 MSSQL 实例信任(数据库链接)。如果用户对受信任的数据库有权限,他将能够利用信任关系在其他实例中执行查询。这些信任可以链式连接,在某些情况下,用户可能能够找到一个配置错误的数据库,在那里他可以执行命令。
数据库之间的链接甚至可以跨森林信任工作。

MSSQL AD Abuse

不受限制的委派

如果您发现任何具有属性 ADS_UF_TRUSTED_FOR_DELEGATION 的计算机对象,并且您在计算机上具有域权限,您将能够从登录到该计算机的每个用户的内存中转储 TGT。
因此,如果域管理员登录到计算机,您将能够转储他的 TGT,并使用 Pass the Ticket 冒充他。
由于受限委派,您甚至可以自动妥协打印服务器(希望它是 DC)。

Unconstrained Delegation

受限委派

如果用户或计算机被允许进行“受限委派”,它将能够冒充任何用户以访问计算机上的某些服务
然后,如果您妥协此用户/计算机的哈希,您将能够冒充任何用户(甚至是域管理员)以访问某些服务。

Constrained Delegation

基于资源的受限委派

在远程计算机的 Active Directory 对象上拥有WRITE权限可以实现提升权限的代码执行:

Resource-based Constrained Delegation

ACL 滥用

被妥协的用户可能对某些域对象拥有一些有趣的权限,这可能让您横向移动/提升权限。

Abusing Active Directory ACLs/ACEs

打印机后台处理程序服务滥用

发现域内后台处理程序服务可以被滥用获取新凭据提升权限

Force NTLM Privileged Authentication

第三方会话滥用

如果其他用户****访问妥协的机器,可能会从内存中收集凭据,甚至在他们的进程中注入信标以冒充他们。
通常用户会通过 RDP 访问系统,因此这里有如何对第三方 RDP 会话执行几种攻击的方法:

RDP Sessions Abuse

LAPS

LAPS 提供了一种管理域加入计算机上的本地管理员密码的系统,确保其随机、唯一且频繁更改。这些密码存储在 Active Directory 中,并通过 ACL 控制对授权用户的访问。拥有足够权限访问这些密码后,可以实现对其他计算机的转移。

LAPS

证书盗窃

从被妥协的机器收集证书可能是提升环境内权限的一种方式:

AD CS Certificate Theft

证书模板滥用

如果配置了易受攻击的模板,则可以滥用它们以提升权限:

AD CS Domain Escalation

使用高权限账户的后期利用

转储域凭据

一旦您获得域管理员或更好的企业管理员权限,您可以转储域数据库:ntds.dit

有关 DCSync 攻击的更多信息可以在这里找到

有关如何窃取 NTDS.dit 的更多信息可以在这里找到

权限提升作为持久性

之前讨论的一些技术可以用于持久性。
例如,您可以:

powershell
Set-DomainObject -Identity <username> -Set @{serviceprincipalname="fake/NOTHING"}r
powershell
Set-DomainObject -Identity <username> -XOR @{UserAccountControl=4194304}
powershell
Add-DomainObjectAcl -TargetIdentity "DC=SUB,DC=DOMAIN,DC=LOCAL" -PrincipalIdentity bfarmer -Rights DCSync

银票

银票攻击为特定服务创建一个合法的票据授予服务 (TGS) 票据,使用NTLM 哈希(例如,PC 账户的哈希)。此方法用于访问服务权限

Silver Ticket

金票

金票攻击涉及攻击者在 Active Directory (AD) 环境中获取krbtgt 账户的 NTLM 哈希。该账户是特殊的,因为它用于签署所有票据授予票据 (TGTs),这些票据对于在 AD 网络中进行身份验证至关重要。

一旦攻击者获得此哈希,他们可以为他们选择的任何账户创建TGTs(银票攻击)。

Golden Ticket

钻石票

这些就像金票,以一种绕过常见金票检测机制的方式伪造。

Diamond Ticket

证书账户持久性

拥有账户的证书或能够请求它们是能够在用户账户中持久存在的非常好方法(即使他更改密码):

AD CS Account Persistence

证书域持久性

使用证书也可以在域内以高权限持久存在:

AD CS Domain Persistence

AdminSDHolder 组

Active Directory 中的AdminSDHolder对象通过在这些组中应用标准访问控制列表 (ACL)来确保特权组(如域管理员和企业管理员)的安全,以防止未经授权的更改。然而,这一功能可能被利用;如果攻击者修改 AdminSDHolder 的 ACL 以授予普通用户完全访问权限,该用户将获得对所有特权组的广泛控制。这个本应保护的安全措施因此可能适得其反,允许不当访问,除非进行严格监控。

有关 AdminDSHolder 组的更多信息在这里。

DSRM 凭据

在每个域控制器 (DC) 内,存在一个本地管理员账户。通过在这样的机器上获得管理员权限,可以使用mimikatz提取本地管理员哈希。随后,需要进行注册表修改以启用使用此密码,从而允许远程访问本地管理员账户。

DSRM Credentials

ACL 持久性

您可以给予某个用户对某些特定域对象的特殊权限,这将使该用户在未来提升权限

Abusing Active Directory ACLs/ACEs

安全描述符

安全描述符用于存储对象对另一个对象的权限。如果您只需对对象的安全描述符进行小改动,就可以在不需要成为特权组成员的情况下获得对该对象的非常有趣的权限。

Security Descriptors

骨架密钥

在内存中更改LSASS以建立一个通用密码,授予对所有域账户的访问权限。

Skeleton Key

自定义 SSP

了解什么是 SSP(安全支持提供者)在这里。
您可以创建自己的SSP捕获用于访问机器的凭据明文

Custom SSP

DCShadow

它在 AD 中注册一个新的域控制器,并使用它在指定对象上推送属性(SIDHistory、SPNs...),不留任何关于修改日志。您需要 DA 权限并在根域内。
请注意,如果您使用错误的数据,将会出现相当丑陋的日志。

DCShadow

LAPS 持久性

之前我们讨论了如果您有足够的权限读取 LAPS 密码,如何提升权限。然而,这些密码也可以用于维持持久性
检查:

LAPS

森林权限提升 - 域信任

微软将森林视为安全边界。这意味着妥协一个域可能导致整个森林被妥协

基本信息

域信任是一种安全机制,使来自一个的用户能够访问另一个中的资源。它本质上在两个域的身份验证系统之间创建了一个链接,允许身份验证验证无缝流动。当域建立信任时,它们在其域控制器 (DC) 中交换并保留特定的密钥,这些密钥对信任的完整性至关重要。

在典型场景中,如果用户打算访问受信任域中的服务,他们必须首先从自己域的 DC 请求一个称为跨域 TGT的特殊票据。此 TGT 使用两个域已达成一致的共享密钥进行加密。然后,用户将此 TGT 提交给受信任域的 DC以获取服务票据(TGS)。在受信任域的 DC 成功验证跨域 TGT 后,它会发出 TGS,授予用户访问该服务的权限。

步骤

  1. 域 1中的客户端计算机使用其NTLM 哈希向其域控制器 (DC1)请求票据授予票据 (TGT),开始该过程。
  2. 如果客户端成功通过身份验证,DC1 将发出新的 TGT。
  3. 客户端然后向 DC1 请求一个跨域 TGT,该 TGT 是访问域 2中的资源所需的。
  4. 跨域 TGT 使用作为双向域信任的一部分在 DC1 和 DC2 之间共享的信任密钥进行加密。
  5. 客户端将跨域 TGT 带到域 2 的域控制器 (DC2)
  6. DC2 使用其共享信任密钥验证跨域 TGT,如果有效,则为客户端想要访问的域 2 中的服务器发出票据授予服务 (TGS)
  7. 最后,客户端将此 TGS 提交给服务器,该 TGS 使用服务器的账户哈希进行加密,以获取对域 2 中服务的访问权限。

不同的信任

重要的是要注意,信任可以是单向或双向。在双向选项中,两个域将相互信任,但在单向信任关系中,一个域将是受信任的,另一个是信任的域。在最后一种情况下,您只能从受信任的域访问信任域内的资源

如果域 A 信任域 B,A 是信任域,B 是受信任域。此外,在域 A中,这将是出站信任;在域 B中,这将是入站信任

不同的信任关系

  • 父子信任:这是同一森林内的常见设置,子域自动与其父域建立双向传递信任。这意味着身份验证请求可以在父域和子域之间无缝流动。
  • 交叉链接信任:称为“快捷信任”,这些是在子域之间建立的,以加快引用过程。在复杂的森林中,身份验证引用通常必须向森林根节点上行,然后向目标域下行。通过创建交叉链接,旅程缩短,这在地理分散的环境中尤其有利。
  • 外部信任:这些是在不同的、不相关的域之间建立的,通常是非传递性的。根据微软的文档,外部信任对于访问当前森林外的域中的资源非常有用,该域未通过森林信任连接。通过 SID 过滤增强安全性。
  • 树根信任:这些信任在森林根域和新添加的树根之间自动建立。虽然不常见,但树根信任对于将新域树添加到森林非常重要,使它们能够保持唯一的域名并确保双向传递性。有关更多信息,请参见微软的指南
  • 森林信任:这种类型的信任是两个森林根域之间的双向传递信任,也实施 SID 过滤以增强安全措施。
  • MIT 信任:这些信任与非 Windows 的RFC4120 兼容 Kerberos 域建立。MIT 信任更为专业,适用于需要与 Windows 生态系统外的基于 Kerberos 的系统集成的环境。

信任关系中的其他差异

  • 信任关系也可以是传递的(A 信任 B,B 信任 C,则 A 信任 C)或非传递的
  • 信任关系可以设置为双向信任(彼此信任)或单向信任(只有一个信任另一个)。

攻击路径

  1. 枚举信任关系
  2. 检查是否有任何安全主体(用户/组/计算机)对其他域的资源有访问权限,可能通过 ACE 条目或通过在其他域的组中查找。寻找跨域关系(信任可能是为此创建的)。
  3. 在这种情况下,kerberoast 可能是另一个选项。
  4. 妥协可以跨域进行转移账户

攻击者可以通过三种主要机制访问另一个域中的资源:

  • 本地组成员资格:主体可能被添加到机器上的本地组中,例如服务器上的“管理员”组,从而授予他们对该机器的重大控制。
  • 外部域组成员资格:主体也可以是外部域中组的成员。然而,此方法的有效性取决于信任的性质和组的范围。
  • 访问控制列表 (ACL):主体可能在ACL中被指定,特别是在DACL中的ACE内,提供对特定资源的访问权限。对于那些希望深入了解 ACL、DACL 和 ACE 机制的人,名为“An ACE Up The Sleeve”的白皮书是一个宝贵的资源。

子到父森林权限提升

Get-DomainTrust

SourceName      : sub.domain.local    --> current domain
TargetName      : domain.local        --> foreign domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : WITHIN_FOREST       --> WITHIN_FOREST: Both in the same forest
TrustDirection  : Bidirectional       --> Trust direction (2ways in this case)
WhenCreated     : 2/19/2021 1:28:00 PM
WhenChanged     : 2/19/2021 1:28:00 PM

warning

这里有 2 个受信任的密钥,一个用于 Child --> Parent,另一个用于 Parent --> Child
您可以使用以下命令查看当前域使用的密钥:

Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.my.domain.local
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\mcorp$"'

SID-History 注入

通过 SID-History 注入利用信任关系以企业管理员身份提升到子/父域:

SID-History Injection

利用可写的配置 NC

理解如何利用配置命名上下文 (NC) 是至关重要的。配置 NC 作为 Active Directory (AD) 环境中跨森林的配置数据的中央存储库。这些数据会复制到森林中的每个域控制器 (DC),可写的 DC 维护配置 NC 的可写副本。要利用这一点,必须在 DC 上拥有 SYSTEM 权限,最好是在子 DC 上。

将 GPO 链接到根 DC 站点

配置 NC 的站点容器包含有关 AD 森林中所有域加入计算机站点的信息。通过在任何 DC 上以 SYSTEM 权限操作,攻击者可以将 GPO 链接到根 DC 站点。此操作可能通过操纵应用于这些站点的策略来危害根域。

有关详细信息,可以探索关于 绕过 SID 过滤 的研究。

危害森林中的任何 gMSA

一个攻击向量涉及针对域内特权 gMSA。KDS Root 密钥是计算 gMSA 密码所必需的,存储在配置 NC 中。通过在任何 DC 上拥有 SYSTEM 权限,可以访问 KDS Root 密钥并计算森林中任何 gMSA 的密码。

详细分析可以在关于 黄金 gMSA 信任攻击 的讨论中找到。

架构变更攻击

此方法需要耐心,等待新特权 AD 对象的创建。通过 SYSTEM 权限,攻击者可以修改 AD 架构,以授予任何用户对所有类的完全控制。这可能导致对新创建的 AD 对象的未经授权的访问和控制。

进一步阅读可在 架构变更信任攻击 中找到。

通过 ADCS ESC5 从 DA 到 EA

ADCS ESC5 漏洞针对对公钥基础设施 (PKI) 对象的控制,以创建一个证书模板,使其能够作为森林中的任何用户进行身份验证。由于 PKI 对象位于配置 NC 中,危害可写的子 DC 使得执行 ESC5 攻击成为可能。

有关更多详细信息,请阅读 通过 ESC5 从 DA 到 EA。在缺乏 ADCS 的情况下,攻击者有能力设置必要的组件,如 从子域管理员提升到企业管理员 中所讨论的。

外部森林域 - 单向(入站)或双向

powershell
Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

在这种情况下,您的域受到外部域的信任,这使您对其拥有不确定的权限。您需要找出您的域中的哪些主体对外部域具有哪些访问权限,然后尝试利用它:

External Forest Domain - OneWay (Inbound) or bidirectional

外部森林域 - 单向(出站)

powershell
Get-DomainTrust -Domain current.local

SourceName      : current.local   --> Current domain
TargetName      : external.local  --> Destination domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : FOREST_TRANSITIVE
TrustDirection  : Outbound        --> Outbound trust
WhenCreated     : 2/19/2021 10:15:24 PM
WhenChanged     : 2/19/2021 10:15:24 PM

在这种情况下,您的域正在向来自不同域的主体信任一些权限

然而,当一个域被信任时,受信任的域创建一个用户,其名称是可预测的,并使用受信任的密码作为密码。这意味着可以访问来自信任域的用户,以进入受信任的域,以枚举它并尝试提升更多权限:

External Forest Domain - One-Way (Outbound)

另一种妥协受信任域的方法是查找在域信任的相反方向创建的SQL受信任链接(这并不常见)。

另一种妥协受信任域的方法是等待在一台受信任域用户可以访问的机器上,通过RDP登录。然后,攻击者可以在RDP会话进程中注入代码,并从那里访问受害者的源域
此外,如果受害者挂载了他的硬盘,攻击者可以在RDP会话进程中将后门存储在硬盘的启动文件夹中。这种技术称为RDPInception

RDP Sessions Abuse

域信任滥用缓解

SID过滤:

  • 通过SID过滤来减轻利用SID历史属性进行攻击的风险,该过滤在所有跨森林信任中默认启用。这是基于假设,考虑到森林而不是域作为安全边界,认为内部森林信任是安全的,这是微软的立场。
  • 然而,有一个问题:SID过滤可能会干扰应用程序和用户访问,导致其偶尔被禁用。

选择性身份验证:

  • 对于跨森林信任,采用选择性身份验证确保两个森林中的用户不会自动被认证。相反,用户需要明确的权限才能访问信任域或森林中的域和服务器。
  • 需要注意的是,这些措施并不能保护免受可写配置命名上下文(NC)的利用或对信任账户的攻击。

有关域信任的更多信息,请访问ired.team。

AD -> Azure & Azure -> AD

Az AD Connect - Hybrid Identity - HackTricks Cloud

一些通用防御

在这里了解更多关于如何保护凭据的信息。

凭据保护的防御措施

  • 域管理员限制:建议仅允许域管理员登录到域控制器,避免在其他主机上使用。
  • 服务账户权限:服务不应以域管理员(DA)权限运行,以维护安全性。
  • 临时权限限制:对于需要DA权限的任务,其持续时间应有限制。这可以通过:Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)来实现。

实施欺骗技术

  • 实施欺骗涉及设置陷阱,如诱饵用户或计算机,具有如不过期的密码或标记为受信任的委托等特征。详细的方法包括创建具有特定权限的用户或将其添加到高权限组。
  • 一个实际的例子涉及使用工具:Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose
  • 有关部署欺骗技术的更多信息,请访问Deploy-Deception on GitHub

识别欺骗

  • 对于用户对象:可疑指标包括不寻常的ObjectSID、稀少的登录、创建日期和低错误密码计数。
  • 一般指标:比较潜在诱饵对象的属性与真实对象的属性可以揭示不一致性。工具如HoneypotBuster可以帮助识别此类欺骗。

绕过检测系统

  • Microsoft ATA检测绕过
  • 用户枚举:避免在域控制器上进行会话枚举,以防止ATA检测。
  • 票据冒充:利用aes密钥创建票据有助于避免检测,因为不降级到NTLM。
  • DCSync攻击:建议从非域控制器执行,以避免ATA检测,因为直接从域控制器执行会触发警报。

参考文献

tip

学习和实践 AWS 黑客技术:HackTricks Training AWS Red Team Expert (ARTE)
学习和实践 GCP 黑客技术:HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks