hacktricks/windows-hardening/active-directory-methodology
2024-02-05 03:25:08 +00:00
..
acl-persistence-abuse Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
ad-certificates Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:25:08 +00:00
abusing-ad-mssql.md Translated to Japanese 2023-07-07 23:42:27 +00:00
ad-certificates.md Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql- 2024-01-03 00:54:19 +00:00
ad-dns-records.md Translated to Japanese 2023-07-07 23:42:27 +00:00
ad-information-in-printers.md Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/README.md', 'a. 2024-02-04 16:27:51 +00:00
asreproast.md Translated ['generic-methodologies-and-resources/pentesting-wifi/README. 2024-02-02 13:22:44 +00:00
bloodhound.md Translated ['windows-hardening/active-directory-methodology/bloodhound.m 2024-01-03 10:50:45 +00:00
constrained-delegation.md Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n 2024-01-12 08:20:35 +00:00
custom-ssp.md Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n 2024-01-12 08:20:35 +00:00
dcshadow.md Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n 2024-01-12 08:20:35 +00:00
dcsync.md Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql- 2024-01-03 00:54:19 +00:00
diamond-ticket.md Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n 2024-01-12 08:20:35 +00:00
dsrm-credentials.md Translated ['network-services-pentesting/1026-pentesting-rusersd.md', 'n 2024-01-12 08:20:35 +00:00
external-forest-domain-one-way-outbound.md Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql- 2024-01-03 00:54:19 +00:00
external-forest-domain-oneway-inbound.md Translated to Japanese 2023-07-07 23:42:27 +00:00
golden-ticket.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 15:31:32 +00:00
kerberoast.md Translated ['network-services-pentesting/pentesting-mssql-microsoft-sql- 2024-01-03 00:54:19 +00:00
kerberos-authentication.md Translated ['exploiting/linux-exploiting-basic-esp/README.md', 'exploiti 2024-02-05 03:25:08 +00:00
kerberos-double-hop-problem.md Translated to Japanese 2023-07-07 23:42:27 +00:00
laps.md Translated ['windows-hardening/active-directory-methodology/laps.md'] to 2023-07-17 14:57:38 +00:00
over-pass-the-hash-pass-the-key.md Translated to Japanese 2023-07-07 23:42:27 +00:00
pass-the-ticket.md Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
password-spraying.md Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
printers-spooler-service-abuse.md Translated ['macos-hardening/macos-security-and-privilege-escalation/mac 2024-02-03 17:36:52 +00:00
printnightmare.md Translated ['a.i.-exploiting/bra.i.nsmasher-presentation/README.md', 'a. 2024-02-04 16:27:51 +00:00
privileged-groups-and-token-privileges.md Translated ['mobile-pentesting/android-app-pentesting/frida-tutorial/REA 2024-01-13 22:21:48 +00:00
rdp-sessions-abuse.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 15:31:32 +00:00
README.md Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
resource-based-constrained-delegation.md Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
security-descriptors.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 15:31:32 +00:00
sid-history-injection.md Translated to Japanese 2023-07-07 23:42:27 +00:00
silver-ticket.md Translated ['windows-hardening/active-directory-methodology/README.md', 2024-01-02 22:36:59 +00:00
skeleton-key.md Translated ['windows-hardening/active-directory-methodology/ad-certifica 2024-01-09 15:31:32 +00:00
unconstrained-delegation.md Translated to Japanese 2023-07-07 23:42:27 +00:00

Active Directory Methodology

AWSハッキングをれロからヒヌロヌたで孊ぶ htARTE (HackTricks AWS Red Team Expert)

HackTricksをサポヌトする他の方法:

基本抂芁

Active Directoryは、ネットワヌク管理者がドメむン、ナヌザヌ、およびネットワヌク内のオブゞェクトを䜜成および管理するこずを可胜にしたす。䟋えば、管理者はナヌザヌグルヌプを䜜成し、サヌバヌ䞊の特定のディレクトリぞの特定のアクセス暩を䞎えるこずができたす。ネットワヌクが成長するに぀れお、Active Directoryは倚数のナヌザヌを論理的なグルヌプずサブグルヌプに線成し、各レベルでアクセス制埡を提䟛する方法を提䟛したす。

Active Directoryの構造には、1) ドメむン、2) ツリヌ、3) フォレストの3぀の䞻芁な階局が含たれおいたす。同じデヌタベヌスを䜿甚する耇数のオブゞェクトナヌザヌたたはデバむスは、単䞀のドメむンにグルヌプ化されるこずがありたす。耇数のドメむンは、ツリヌず呌ばれる単䞀のグルヌプに組み合わせるこずができたす。耇数のツリヌは、フォレストず呌ばれるコレクションにグルヌプ化されるこずがありたす。これらの各レベルには、特定のアクセス暩ず通信暩限が割り圓おられるこずがありたす。

Active Directoryの䞻芁な抂念:

  1. ディレクトリ – Active Directoryのオブゞェクトに関するすべおの情報を含む
  2. オブゞェクト – ディレクトリ内のほがすべおのものナヌザヌ、グルヌプ、共有フォルダヌなどを参照する
  3. ドメむン – ディレクトリのオブゞェクトはドメむン内に含たれる。"フォレスト"内には耇数のドメむンが存圚し、それぞれに独自のオブゞェクトコレクションがある。
  4. ツリヌ – 同じルヌトを持぀ドメむンのグルヌプ。䟋: dom.local, email.dom.local, www.dom.local
  5. フォレスト – フォレストは組織階局の最䞊䜍レベルであり、ツリヌのグルヌプで構成される。ツリヌは信頌関係によっお接続される。

Active Directoryはいく぀かの異なるサヌビスを提䟛し、これらは"Active Directory Domain Services"、たたはAD DSの傘䞋にありたす。これらのサヌビスには以䞋が含たれたす:

  1. ドメむンサヌビス – 䞭倮集暩的なデヌタを保存し、ナヌザヌずドメむン間の通信を管理する; ログむン認蚌ず怜玢機胜を含む
  2. 蚌明曞サヌビス – 安党な蚌明曞を䜜成、配垃、および管理する
  3. 軜量ディレクトリサヌビス – 開攟的な(LDAP)プロトコルを䜿甚するディレクトリ察応アプリケヌションをサポヌトする
  4. ディレクトリ連携サヌビス – 単䞀セッションで耇数のWebアプリケヌションにナヌザヌを認蚌するシングルサむンオン(SSO)を提䟛する
  5. 暩利管理 – 著䜜暩情報を保護し、デゞタルコンテンツの䞍正䜿甚ず流通を防ぐ
  6. DNSサヌビス – ドメむン名を解決するために䜿甚される。

AD DSはWindows ServerWindows Server 10を含むに含たれおおり、クラむアントシステムを管理するように蚭蚈されおいたす。通垞のバヌゞョンのWindowsを実行しおいるシステムはAD DSの管理機胜を持っおいたせんが、Active Directoryをサポヌトしおいたす。これは、正しいログむン資栌情報を持っおいるナヌザヌであれば、任意のWindowsコンピュヌタヌがWindowsワヌクグルヌプに接続できるこずを意味したす。
出兞: https://techterms.com/definition/active_directory

Kerberos認蚌

ADを攻撃する方法を孊ぶには、Kerberos認蚌プロセスを非垞によく理解する必芁がありたす。
ただその仕組みを知らない堎合は、このペヌゞを読んでください。

チヌトシヌト

https://wadcoms.github.io/にアクセスしお、ADを列挙/悪甚するために実行できるコマンドのクむックビュヌを確認できたす。

Recon Active Directory (No creds/sessions)

資栌情報/セッションがない堎合でも、AD環境にアクセスできる堎合がありたす:

  • ネットワヌクのペネトレヌションテスト:
  • ネットワヌクをスキャンし、マシンずオヌプンポヌトを芋぀けお、脆匱性を悪甚するか、それらから資栌情報を抜出する䟋えば、プリンタヌは非垞に興味深いタヌゲットになる可胜性がありたす。
  • DNSを列挙するず、ドメむン内の重芁なサヌバヌWeb、プリンタヌ、共有、VPN、メディアなどに関する情報が埗られる可胜性がありたす。
  • gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
  • これを行う方法に぀いおの詳现は、䞀般的なペネトレヌションテスト方法論を参照しおください。
  • smbサヌビスでnullおよびGuestアクセスをチェックするこれは珟代のWindowsバヌゞョンでは機胜したせん:
  • enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
  • smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
  • smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
  • SMBサヌバヌを列挙する方法に぀いおの詳现なガむドはこちらです

{% content-ref url="../../network-services-pentesting/pentesting-smb.md" %} pentesting-smb.md {% endcontent-ref %}

  • Ldapを列挙する
  • nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
  • LDAPを列挙する方法に぀いおの詳现なガむドはこちらです匿名アクセスに特に泚意しおください

{% content-ref url="../../network-services-pentesting/pentesting-ldap.md" %} pentesting-ldap.md {% endcontent-ref %}

ナヌザヌ列挙

  • 匿名SMB/LDAP enum: ペネトレヌションテスト SMB ず ペネトレヌションテスト LDAP のペヌゞをチェックしおください。
  • Kerbrute enum: 無効なナヌザヌ名が芁求された堎合、サヌバヌは Kerberos゚ラヌ コヌド KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN を䜿甚しお応答し、ナヌザヌ名が無効であるこずを刀断できたす。有効なナヌザヌ名は、TGT in a AS-REP 応答たたぱラヌ KRB5KDC_ERR_PREAUTH_REQUIRED を匕き出し、ナヌザヌが事前認蚌を行う必芁があるこずを瀺したす。
./kerbrute_linux_amd64 userenum -d lab.ropnop.com --dc 10.10.10.10 usernames.txt #From https://github.com/ropnop/kerbrute/releases

nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='DOMAIN'" <IP>
Nmap -p 88 --script=krb5-enum-users --script-args krb5-enum-users.realm='<domain>',userdb=/root/Desktop/usernames.txt <IP>

msf> use auxiliary/gather/kerberos_enumusers

crackmapexec smb dominio.es  -u '' -p '' --users | awk '{print $4}' | uniq
  • OWA (Outlook Web Access) サヌバヌ

ネットワヌク内でこれらのサヌバヌを芋぀けた堎合、ナヌザヌ列挙を実行するこずもできたす。䟋えば、ツヌル MailSniper を䜿甚できたす

ipmo C:\Tools\MailSniper\MailSniper.ps1
# Get info about the domain
Invoke-DomainHarvestOWA -ExchHostname [ip]
# Enumerate valid users from a list of potential usernames
Invoke-UsernameHarvestOWA -ExchHostname [ip] -Domain [domain] -UserList .\possible-usernames.txt -OutFile valid.txt
# Password spraying
Invoke-PasswordSprayOWA -ExchHostname [ip] -UserList .\valid.txt -Password Summer2021
# Get addresses list from the compromised mail
Get-GlobalAddressList -ExchHostname [ip] -UserName [domain]\[username] -Password Summer2021 -OutFile gal.txt

{% hint style="warning" %} このGitHubリポゞトリでナヌザヌ名のリストを芋぀けるこずができたす。このgithubリポゞトリ ずこのリポゞトリ (statistically-likely-usernames)。

しかし、このステップの前に実斜したはずのリコンステップから、䌚瀟で働いおいる人々の名前を持っおいるべきです。名前ず姓を䜿っお、スクリプト namemash.py を䜿甚しお、有効な可胜性のあるナヌザヌ名を生成できたす。 {% endhint %}

䞀぀たたは耇数のナヌザヌ名を知っおいる

有効なナヌザヌ名をすでに知っおいるが、パスワヌドはない堎合は以䞋を詊しおみおください。

  • ASREPRoast: ナヌザヌが DONT_REQ_PREAUTH 属性を 持っおいない 堎合、そのナヌザヌの AS_REPメッセヌゞを芁求 でき、それにはナヌザヌのパスワヌドの掟生によっお暗号化されたデヌタが含たれたす。
  • Password Spraying: 発芋された各ナヌザヌで最も 䞀般的なパスワヌド を詊しおみたしょう。もしかするず、䜕人かのナヌザヌが悪いパスワヌドを䜿甚しおいるかもしれたせんパスワヌドポリシヌを念頭に眮いおください。
  • OWAサヌバヌに察しおも スプレヌ を行い、ナヌザヌのメヌルサヌバヌぞのアクセスを詊みるこずができたす。

{% content-ref url="password-spraying.md" %} password-spraying.md {% endcontent-ref %}

LLMNR/NBT-NSポむズニング

ネットワヌクのプロトコルを ポむズニング するこずで、クラックするためのチャレンゞ ハッシュ を 取埗 するこずができるかもしれたせん。

{% content-ref url="../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md" %} spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md {% endcontent-ref %}

NTMLリレヌ

アクティブディレクトリを列挙するこずができれば、より倚くのメヌルアドレスずネットワヌクのより良い理解 を埗るこずができたす。NTML リレヌ攻撃 を匷制しお、AD環境ぞのアクセスを埗るこずができるかもしれたせん。

NTLMクレデンシャルの盗難

nullたたはゲストナヌザヌ で他のPCや共有に アクセス できる堎合、SCFファむルのような ファむルを配眮 しお、䜕らかの方法でアクセスされた堎合に NTML認蚌をトリガヌ し、クラックするための NTLMチャレンゞ を 盗む こずができたす。

{% content-ref url="../ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}

クレデンシャル/セッションを持぀アクティブディレクトリの列挙

このフェヌズでは、有効なドメむンアカりントのクレデンシャルたたはセッションを 䟵害しおいる必芁がありたす。有効なクレデンシャルを持っおいるか、ドメむンナヌザヌずしおシェルを持っおいる堎合、以前に提䟛されたオプションが他のナヌザヌを䟵害するためのオプションであるこずを芚えおおくべきです。

認蚌された列挙を開始する前に、Kerberosダブルホップ問題 に぀いお知っおおくべきです。

{% content-ref url="kerberos-double-hop-problem.md" %} kerberos-double-hop-problem.md {% endcontent-ref %}

列挙

アカりントを䟵害するこずは、ドメむン党䜓を䟵害するための倧きなステップ です。なぜなら、アクティブディレクトリの列挙 を開始するこずができるからです。

ASREPRoast に関しおは、すべおの可胜性のある脆匱なナヌザヌを芋぀けるこずができ、Password Spraying に関しおは、すべおのナヌザヌ名のリストを取埗し、䟵害されたアカりントのパスワヌド、空のパスワヌド、新しい有望なパスワヌドを詊すこずができたす。

  • 基本的なリコンを実行するために CMDを䜿甚 するこずができたす。
  • よりステルス性の高い powershellをリコンに䜿甚 するこずもできたす。
  • より詳现な情報を抜出するために powerviewを䜿甚 するこずもできたす。
  • アクティブディレクトリでのリコンには BloodHound ずいう玠晎らしいツヌルがありたす。それは あたりステルス性がありたせん䜿甚する収集方法によりたすが、しかし、それが気にならない堎合は、ぜひ詊しおみるべきです。RDPできるナヌザヌを芋぀けたり、他のグルヌプぞのパスを芋぀けたりするこずができたす。
  • 他の自動化されたAD列挙ツヌルには: AD Explorer, ADRecon, Group3r, PingCastle** がありたす。**
  • ADの DNSレコヌド には興味深い情報が含たれおいる可胜性がありたす。
  • ディレクトリを列挙するために䜿甚できる GUIツヌル には、SysInternal スむヌトの AdExplorer.exe がありたす。
  • ldapsearch を䜿甚しおLDAPデヌタベヌスを怜玢し、userPassword および unixUserPassword、たたは Description のフィヌルドでクレデンシャルを探すこずもできたす。他の方法に぀いおは、PayloadsAllTheThingsのADナヌザヌコメントのパスワヌド を参照しおください。
  • Linuxを䜿甚しおいる堎合、pywerview を䜿甚しおドメむンを列挙するこずもできたす。
  • 自動化されたツヌルずしお以䞋も詊しおみるこずができたす:
  • tomcarver16/ADSearch
  • 61106960/adPEAS
  • すべおのドメむンナヌザヌの抜出

Windowsからすべおのドメむンナヌザヌ名を取埗するのは非垞に簡単ですnet user /domain ,Get-DomainUser たたは wmic useraccount get name,sid。Linuxでは、以䞋を䜿甚できたす: GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/username たたは enum4linux -a -u "user" -p "password" <DC IP>

この列挙セクションが小さく芋えるかもしれたせんが、これがすべおの䞭で最も重芁な郚分です。リンク特にcmd、powershell、powerview、BloodHoundのリンクにアクセスし、ドメむンを列挙する方法を孊び、快適に感じるたで緎習しおください。評䟡䞭には、DAぞの道を芋぀けるか、䜕もできないず刀断するための鍵ずなる瞬間です。

Kerberoast

Kerberoastingの目的は、ドメむンナヌザヌアカりントを代衚しお実行されるサヌビスのTGSチケットを収穫するこずです。これらのTGSチケットの䞀郚は、ナヌザヌパスワヌドから掟生したキヌで 暗号化されおいたす。その結果、そのクレデンシャルは オフラむンでクラックされる可胜性がありたす。
詳现は以䞋で:

{% content-ref url="kerberoast.md" %} kerberoast.md {% endcontent-ref %}

リモヌト接続 (RDP, SSH, FTP, Win-RMなど)

いく぀かのクレデンシャルを取埗したら、任意の マシン にアクセスできるかどうかを確認できたす。そのためには、ポヌトスキャンに応じお、CrackMapExec を䜿甚しお、さたざたなサヌバヌで異なるプロトコルで接続を詊みるこずができたす。

ロヌカル特暩昇栌

通垞のドメむンナヌザヌずしおのクレデンシャルたたはセッションを䟵害し、このナヌザヌで ドメむン内の任意のマシンにアクセス できる堎合は、ロヌカルで特暩を昇栌させ、クレデンシャルを略奪する方法を芋぀ける べきです。これは、他のナヌザヌのハッシュをメモリLSASSおよびロヌカルSAMから ダンプするには、ロヌカル管理者暩限が必芁 だからです。

この本には Windowsでのロヌカル特暩昇栌 に぀いおの完党なペヌゞず チェックリスト がありたす。たた、WinPEAS の䜿甚を忘れないでください。

珟圚のセッションチケット

珟圚のナヌザヌに アクセス蚱可を䞎えるチケット が芋぀かるこずは非垞に たれ ですが、確認するこずができたす

## List all tickets (if not admin, only current user tickets)
.\Rubeus.exe triage
## Dump the interesting one by luid
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))

NTMLリレヌ

アクティブディレクトリを列挙するこずに成功した堎合、より倚くのメヌルアドレスずネットワヌクの理解が深たりたす。NTMLのリレヌ攻撃を匷制するこずができるかもしれたせん。

コンピュヌタ共有で資栌情報を探す

基本的な資栌情報を手に入れたら、AD内で共有されおいる興味深いファむルを探すべきです。手動で行うこずもできたすが、それは非垞に退屈で繰り返しの䜜業です特に、確認する必芁がある数癟のドキュメントが芋぀かった堎合。

このリンクをフォロヌしお、䜿甚できるツヌルに぀いお孊びたしょう。

NTLM資栌情報を盗む

他のPCや共有にアクセスできる堎合、SCFファむルのようなファむルを配眮しお、䜕らかの方法でアクセスされた堎合にあなたに察しおNTML認蚌をトリガヌし、NTLMチャレンゞを盗むこずができたす

{% content-ref url="../ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}

CVE-2021-1675/CVE-2021-34527 PrintNightmare

この脆匱性により、任意の認蚌枈みナヌザヌがドメむンコントロヌラヌを䟵害するこずができたした。

{% content-ref url="printnightmare.md" %} printnightmare.md {% endcontent-ref %}

特暩資栌情報/セッションを持぀Active Directoryでの暩限昇栌

以䞋の技術には、通垞のドメむンナヌザヌでは䞍十分で、これらの攻撃を実行するために特別な暩限/資栌情報が必芁です。

ハッシュ抜出

AsRepRoast、Password Spraying、Kerberoast、Responderリレヌを含む、EvilSSDP、ロヌカルでの暩限昇栌を䜿甚しお、䜕らかのロヌカル管理者アカりントを䟵害するこずに成功したこずを願いたす。
次に、メモリずロヌカルにあるすべおのハッシュをダンプする時です。
ハッシュを取埗するさたざたな方法に぀いおは、このペヌゞを読んでください。

パス・ザ・ハッシュ

ナヌザヌのハッシュを手に入れたら、それを䜿甚しおなりすたしを行うこずができたす。
NTLM認蚌をそのハッシュを䜿甚しお実行する䜕らかのツヌルを䜿甚するか、新しいsessionlogonを䜜成しおそのハッシュをLSASSに泚入し、NTLM認蚌が実行されるずきにそのハッシュが䜿甚されるようにする必芁がありたす。最埌のオプションはmimikatzが行うこずです。
詳现に぀いおは、このペヌゞを読んでください。

Over Pass the Hash/Pass the Key

この攻撃は、ナヌザヌのNTLMハッシュを䜿甚しおKerberosチケットを芁求するこずを目的ずしおいたす。したがっお、これは特にNTLMプロトコルが無効になっおいるネットワヌクで有甚であり、認蚌プロトコルずしおKerberosのみが蚱可されおいる堎合に特に有甚です。

{% content-ref url="over-pass-the-hash-pass-the-key.md" %} over-pass-the-hash-pass-the-key.md {% endcontent-ref %}

パス・ザ・チケット

この攻撃はPass the Keyに䌌おいたすが、ハッシュを䜿甚しおチケットを芁求する代わりに、チケット自䜓が盗たれ、その所有者ずしお認蚌に䜿甚されたす。

{% content-ref url="pass-the-ticket.md" %} pass-the-ticket.md {% endcontent-ref %}

資栌情報の再利甚

ロヌカル管理者のハッシュたたはパスワヌドを持っおいる堎合、それを䜿甚しお他のPCにロヌカルでログむンするこずを詊みるべきです。

# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +

{% hint style="warning" %} この方法はかなり隒々しいものであり、LAPSがこれを軜枛するでしょう。 {% endhint %}

ナヌザヌがMSSQLむンスタンスにアクセスする暩限を持っおいる堎合、MSSQLホストでコマンドを実行したり、NetNTLMのハッシュを盗んだり、さらにはリレヌ攻撃を行うこずができるかもしれたせん。
たた、異なるMSSQLむンスタンスに信頌されおいるデヌタベヌスリンクされおいるMSSQLむンスタンスがある堎合、ナヌザヌが信頌されたデヌタベヌスに察する暩限を持っおいれば、信頌関係を利甚しお他のむンスタンスでもク゚リを実行するこずができたす。これらの信頌は連鎖的になり、ナヌザヌはコマンドを実行できる誀蚭定されたデヌタベヌスを芋぀けるかもしれたせん。
デヌタベヌス間のリンクは、フォレストトラストを越えおも機胜したす。

{% content-ref url="abusing-ad-mssql.md" %} abusing-ad-mssql.md {% endcontent-ref %}

Unconstrained Delegation

ADS_UF_TRUSTED_FOR_DELEGATION属性を持぀コンピュヌタオブゞェクトを芋぀け、そのコンピュヌタのドメむン暩限を持っおいる堎合、そのコンピュヌタにログむンするすべおのナヌザヌのTGTをメモリからダンプするこずができたす。
したがっお、ドメむン管理者がそのコンピュヌタにログむンするず、そのTGTをダンプしおPass the Ticketを䜿甚しお圌を停装するこずができたす。
制玄付き委任を利甚するず、プリントサヌバヌを自動的に䟵害するこずもできたすできればDCになるでしょう。

{% content-ref url="unconstrained-delegation.md" %} unconstrained-delegation.md {% endcontent-ref %}

Constrained Delegation

ナヌザヌやコンピュヌタが「制玄付き委任」を蚱可されおいる堎合、任意のナヌザヌになりすたしお特定のコンピュヌタのサヌビスにアクセスするこずができたす。
その埌、このナヌザヌ/コンピュヌタのハッシュを䟵害するず、任意のナヌザヌドメむン管理者でさえになりすたしお䞀郚のサヌビスにアクセスするこずができたす。

{% content-ref url="constrained-delegation.md" %} constrained-delegation.md {% endcontent-ref %}

Resource-based Constrained Delegation

そのコンピュヌタのADオブゞェクトに曞き蟌み暩限を持っおいる堎合、リモヌトコンピュヌタで特暩を持぀コヌド実行を獲埗するこずが可胜です。

{% content-ref url="resource-based-constrained-delegation.md" %} resource-based-constrained-delegation.md {% endcontent-ref %}

ACLs Abuse

䟵害されたナヌザヌは、暪移動や暩限昇栌を可胜にするドメむンオブゞェクトに察する興味深い暩限を持っおいるかもしれたせん。

{% content-ref url="acl-persistence-abuse/" %} acl-persistence-abuse {% endcontent-ref %}

Printer Spooler service abuse

ドメむン内でSpoolサヌビスがリスニングしおいるのを芋぀けるこずができれば、それを悪甚しお新しい資栌情報を取埗し、暩限を昇栌するこずができたす。
Spoolerサヌビスの悪甚方法に぀いおの詳现はこちら。

Third party sessions abuse

他のナヌザヌが䟵害されたマシンにアクセスする堎合、メモリから資栌情報を収集したり、圌らのプロセスにビヌコンを泚入しお停装するこずが可胜です。
通垞、ナヌザヌはRDPを介しおシステムにアクセスするため、ここでは第䞉者のRDPセッションに察しお攻撃を行う方法をいく぀か玹介したす

{% content-ref url="rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}

LAPS

LAPSは、ドメむンに参加しおいるコンピュヌタのロヌカル管理者パスワヌドランダム化され、ナニヌクで、定期的に倉曎されるを管理するこずを可胜にしたす。これらのパスワヌドはActive Directoryに䞭倮集䞭的に保存され、ACLを䜿甚しお承認されたナヌザヌに制限されたす。これらのパスワヌドを読む十分な暩限を持っおいれば、他のコンピュヌタに移動するこずができたす。

{% content-ref url="laps.md" %} laps.md {% endcontent-ref %}

Certificate Theft

䟵害されたマシンから蚌明曞を収集するこずは、環境内で暩限を昇栌する方法の䞀぀です

{% content-ref url="ad-certificates/certificate-theft.md" %} certificate-theft.md {% endcontent-ref %}

Certificate Templates Abuse

脆匱なテンプレヌトが蚭定されおいる堎合、それらを悪甚しお暩限を昇栌するこずが可胜です

{% content-ref url="ad-certificates/domain-escalation.md" %} domain-escalation.md {% endcontent-ref %}

高暩限アカりントを䜿甚した䟵害埌の掻動

Dumping Domain Credentials

ドメむン管理者たたはさらに良い゚ンタヌプラむズ管理者の暩限を埗たら、ドメむンデヌタベヌス_ntds.dit_をダンプするこずができたす。

DCSync攻撃に関する詳现情報はこちら。

NTDS.ditを盗む方法に関する詳现情報はこちら

Privesc as Persistence

以前に議論した技術のいく぀かは、氞続性のために䜿甚するこずができたす。
䟋えば、以䞋のようにするこずができたす

  • Kerberoastに察しおナヌザヌを脆匱にする
Set-DomainObject -Identity <username> -Set @{serviceprincipalname="fake/NOTHING"}r
  • ASREPRoastに察しおナヌザヌを脆匱にする
Set-DomainObject -Identity <username> -XOR @{UserAccountControl=4194304}
  • ナヌザヌにDCSync暩限を付䞎する
Add-DomainObjectAcl -TargetIdentity "DC=SUB,DC=DOMAIN,DC=LOCAL" -PrincipalIdentity bfarmer -Rights DCSync

Silver Ticket

Silver ticket攻撃は、サヌビスのNTLMハッシュ䟋えばPCアカりントハッシュを所有しおいる堎合に、そのサヌビスの有効なTGSを䜜成するこずに基づいおいたす。これにより、カスタムTGSを停造しお任意のナヌザヌずしおそのサヌビスにアクセスするこずが可胜です特暩アクセスをコンピュヌタに。

{% content-ref url="silver-ticket.md" %} silver-ticket.md {% endcontent-ref %}

Golden Ticket

krbtgt ADアカりントのNTLMハッシュを䜿甚しお、任意のナヌザヌずしお有効なTGTを䜜成するこずができたす。TGSの代わりにTGTを停造する利点は、停装したナヌザヌずしおドメむン内の任意のサヌビスたたはマシンにアクセスできるこずです。

{% content-ref url="golden-ticket.md" %} golden-ticket.md {% endcontent-ref %}

Diamond Ticket

これらは、䞀般的なgolden tickets怜出メカニズムを回避する方法で停造されたgolden ticketsです。

{% content-ref url="diamond-ticket.md" %} diamond-ticket.md {% endcontent-ref %}

Certificates Account Persistence

アカりントの蚌明曞を持っおいるか、それらをリク゚ストするこずができるず、ナヌザヌアカりントに氞続的に留たるこずができたすたずえパスワヌドが倉曎されたずしおも

{% content-ref url="ad-certificates/account-persistence.md" %} account-persistence.md {% endcontent-ref %}

Certificates Domain Persistence

蚌明曞を䜿甚しお、ドメむン内で高暩限で氞続的に留たるこずも可胜です

{% content-ref url="ad-certificates/domain-persistence.md" %} domain-persistence.md {% endcontent-ref %}

AdminSDHolder Group

AdminSDHolderオブゞェクトのアクセス制埡リストACLは、Active Directory内のすべおの「保護されたグルヌプ」ずそのメンバヌに暩限をコピヌするためのテンプレヌトずしお䜿甚されたす。保護されたグルヌプには、ドメむン管理者、管理者、゚ンタヌプラむズ管理者、スキヌマ管理者、バックアップオペレヌタヌ、krbtgtなどの特暩グルヌプが含たれたす。
デフォルトでは、このグルヌプのACLはすべおの「保護されたグルヌプ」内にコピヌされたす。これは、これらの重芁なグルヌプに意図的たたは偶発的な倉曎が加えられるのを防ぐためです。しかし、攻撃者がたずえば、通垞のナヌザヌに完党な暩限を䞎えるこずでグルヌプAdminSDHolderのACLを倉曎するず、このナヌザヌは保護されたグルヌプ内のすべおのグルヌプに完党な暩限を持぀こずになりたす1時間以内に。
そしお、誰かがこのナヌザヌをドメむン管理者䟋えばから削陀しようずしおも、1時間以内にナヌザヌはグルヌプに戻りたす。
AdminDSHolder Groupに関する詳现情報はこちら。

DSRM Credentials

各DC内にはロヌカル管理者アカりントがありたす。このマシンで管理者暩限を持っおいる堎合、mimikatzを䜿甚しおロヌカル管理者のハッシュをダンプするこずができたす。その埌、レゞストリを倉曎しおこのパスワヌドをアクティブにし、このロヌカル管理者ナヌザヌにリモヌトアクセスできるようにしたす。

{% content-ref url="dsrm-credentials.md" %} dsrm-credentials.md {% endcontent-ref %}

ACL Persistence

特定のドメむンオブゞェクトに察しおナヌザヌに特別な暩限を䞎えるこずで、将来的に暩限を昇栌するこずができたす。

{% content-ref url="acl-persistence-abuse/" %} acl-persistence-abuse {% endcontent-ref %}

Security Descriptors

セキュリティディスクリプタヌは、オブゞェクトが他のオブゞェクトに察しお持぀暩限を保存するために䜿甚されたす。オブゞェクトのセキュリティディスクリプタヌをわずかに倉曎するこずができれば、特暩グルヌプのメンバヌでなくおもそのオブゞェクトに察しお非垞に興味深い暩限を埗るこずができたす。

{% content-ref url="security-descriptors.md" %} security-descriptors.md {% endcontent-ref %}

Skeleton Key

メモリ内のLSASSを倉曎しお、ドメむン内の任意のアカりントで機胜するマスタヌパスワヌドを䜜成したす。

{% content-ref url="skeleton-key.md" %} skeleton-key.md {% endcontent-ref %}

Custom SSP

SSPセキュリティサポヌトプロバむダに぀いおはこちらで孊ぶ。
自分自身のSSPを䜜成しお、マシンにアクセスするために䜿甚される資栌情報をクリアテキストでキャプチャするこずができたす。\

{% content-ref url="custom-ssp.md" %} custom-ssp.md {% endcontent-ref %}

DCShadow

ADに新しいドメむンコントロヌラヌを登録し、それを䜿甚しお指定されたオブゞェクトに察しお属性SIDHistory、SPNなどをログを残さずにプッシュしたす。これを行うにはDA暩限が必芁で、ルヌトドメむン内にいる必芁がありたす。
間違ったデヌタを䜿甚するず、非垞に醜いログが衚瀺されるこずに泚意しおください。

{% content-ref url="dcshadow.md" %} dcshadow.md {% endcontent-ref %}

LAPS Persistence

以前に、LAPSパスワヌドを読む十分な暩限を持っおいる堎合に暩限を昇栌する方法に぀いお

Get-DomainTrust

SourceName      : sub.domain.local    --> current domain
TargetName      : domain.local        --> foreign domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : WITHIN_FOREST       --> WITHIN_FOREST: Both in the same forest
TrustDirection  : Bidirectional       --> Trust direction (2ways in this case)
WhenCreated     : 2/19/2021 1:28:00 PM
WhenChanged     : 2/19/2021 1:28:00 PM

{% hint style="warning" %} 2぀の信頌されたキヌがありたす。䞀぀は Child --> Parent 甚、もう䞀぀は Parent --> Child 甚です。
珟圚のドメむンで䜿甚されおいるキヌを確認するには

Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.my.domain.local
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\mcorp$"'

SID-History むンゞェクション

SID-History むンゞェクションを悪甚しお、信頌関係を乱甚し、子/芪ドメむンの゚ンタヌプラむズ管理者ずしお暩限を昇栌させたす

{% content-ref url="sid-history-injection.md" %} sid-history-injection.md {% endcontent-ref %}

曞き蟌み可胜な Configuration NC の悪甚

Configuration NC はフォレストの蚭定情報の䞻芁なリポゞトリであり、フォレスト内のすべおの DC にレプリケヌトされたす。さらに、フォレスト内のすべおの曞き蟌み可胜な DC読み取り専甚の DC は陀くは、曞き蟌み可胜な Configuration NC のコピヌを保持しおいたす。これを悪甚するには、子DC 䞊で SYSTEM ずしお実行する必芁がありたす。

以䞋に蚘茉されおいる様々な方法でルヌトドメむンを䟵害するこずが可胜です。

ルヌト DC サむトに GPO をリンクする

Configuration NC の Sites コンテナには、AD フォレストに参加しおいるコンピュヌタのすべおのサむトが含たれおいたす。フォレスト内の任意の DC 䞊で SYSTEM ずしお実行するこずにより、フォレストのルヌト DC のサむトを含むサむトに GPO をリンクし、これらを䟵害するこずが可胜です。

詳现はこちらで読むこずができたす Bypass SID filtering research。

フォレスト内の任意の gMSA を䟵害する

攻撃は、察象ドメむン内の特暩を持぀ gMSA に䟝存しおいたす。

フォレスト内の gMSA のパスワヌドを蚈算するために䜿甚される KDS Root キヌは、Configuration NC に栌玍されおいたす。フォレスト内の任意の DC 䞊で SYSTEM ずしお実行するこずにより、KDS Root キヌを読み取り、フォレスト内の任意の gMSA のパスワヌドを蚈算するこずができたす。

詳现はこちらで読むこずができたすGolden gMSA trust attack from child to parent。

スキヌマ倉曎攻撃

攻撃者は新しい特暩 AD オブゞェクトが䜜成されるのを埅぀必芁がありたす。

フォレスト内の任意の DC 䞊で SYSTEM ずしお実行するこずにより、任意のナヌザヌに AD スキヌマのすべおのクラスに察する完党な制埡を付䞎するこずができたす。その制埡は、䟵害されたプリンシパルに完党な制埡を付䞎する ACE を任意の AD オブゞェクトのデフォルトセキュリティ蚘述子に䜜成するために悪甚される可胜性がありたす。倉曎された AD オブゞェクトタむプの新しいむンスタンスは、この ACE を持぀こずになりたす。

詳现はこちらで読むこずができたすSchema change trust attack from child to parent。

ADCS ESC5 を䜿甚しお DA から EA ぞ

ADCS ESC5Vulnerable PKI Object Access Control攻撃は、PKI オブゞェクトの制埡を悪甚しお、フォレスト内の任意のナヌザヌずしお認蚌するために悪甚できる脆匱な蚌明曞テンプレヌトを䜜成したす。PKI オブゞェクトはすべお Configuration NC に栌玍されおいるため、フォレスト内の任意の曞き蟌み可胜な子DC を䟵害した堎合、ESC5 を実行するこずができたす。

詳现はこちらで読むこずができたすFrom DA to EA with ESC5

AD フォレストに ADCS がない堎合、攻撃者はこちらに蚘茉されおいるように必芁なコンポヌネントを䜜成するこずができたすEscalating from child domain’s admins to enterprise admins in 5 minutes by abusing AD CS, a follow up.

倖郚フォレストドメむン - 片方向むンバりンドたたは双方向

Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

このシナリオでは、あなたのドメむンは信頌されおいたす 倖郚のドメむンによっお、それに察しお䞍特定の暩限を䞎えられおいたす。あなたはあなたのドメむンのどのプリンシパルが倖郚ドメむンにどのようなアクセス暩を持っおいるかを芋぀け出し、それを利甚しようずする必芁がありたす

{% content-ref url="external-forest-domain-oneway-inbound.md" %} external-forest-domain-oneway-inbound.md {% endcontent-ref %}

倖郚フォレストドメむン - 片方向アりトバりンド

Get-DomainTrust -Domain current.local

SourceName      : current.local   --> Current domain
TargetName      : external.local  --> Destination domain
TrustType       : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : FOREST_TRANSITIVE
TrustDirection  : Outbound        --> Outbound trust
WhenCreated     : 2/19/2021 10:15:24 PM
WhenChanged     : 2/19/2021 10:15:24 PM
このシナリオでは、**あなたのドメむン**が**異なるドメむン**からのプリンシパルにいく぀かの**暩限**を**ä¿¡é Œ**しおいたす。

しかし、**ドメむンが信頌される**ず、信頌しおいるドメむンは**予枬可胜な名前**を持぀ナヌザヌを**䜜成**し、**信頌されたパスワヌドをパスワヌドずしお䜿甚**したす。぀たり、信頌しおいるドメむンのナヌザヌが信頌されたドメむンに**アクセス**しお列挙し、さらに暩限を゚スカレヌトしようずするこずが可胜です

{% content-ref url="external-forest-domain-one-way-outbound.md" %}
[external-forest-domain-one-way-outbound.md](external-forest-domain-one-way-outbound.md)
{% endcontent-ref %}

信頌されたドメむンを䟵害する別の方法は、ドメむンの信頌の**逆方向**に䜜成された[**SQL信頌リンク**](abusing-ad-mssql.md#mssql-trusted-links)を芋぀けるこずですこれはあたり䞀般的ではありたせん。

信頌されたドメむンを䟵害するもう䞀぀の方法は、信頌されたドメむンの**ナヌザヌがアクセスできる**マシンで埅ち、**RDP**経由でログむンするのを埅぀こずです。その埌、攻撃者はRDPセッションプロセスにコヌドを泚入し、そこから**被害者の元のドメむンにアクセス**するこずができたす。\
さらに、**被害者がハヌドドラむブをマりントした**堎合、**RDPセッション**プロセスから攻撃者は**ハヌドドラむブのスタヌトアップフォルダヌ**に**バックドア**を保存するこずができたす。この技術は**RDPInception**ず呌ばれおいたす。

{% content-ref url="rdp-sessions-abuse.md" %}
[rdp-sessions-abuse.md](rdp-sessions-abuse.md)
{% endcontent-ref %}

### ドメむン信頌の悪甚緩和

**SIDフィルタリング**

* フォレスト信頌を越えたSID履歎属性の悪甚を防ぐ。
* すべおのむンタヌフォレスト信頌でデフォルトで有効になっおいたす。むンタヌフォレスト信頌はデフォルトで安党ず芋なされおいたすMSはドメむンではなくフォレストをセキュリティ境界ず芋なしおいたす。
* しかし、SIDフィルタリングはアプリケヌションずナヌザヌアクセスを壊す可胜性があるため、しばしば無効にされたす。
* 遞択的認蚌
* むンタヌフォレスト信頌で遞択的認蚌が蚭定されおいる堎合、信頌間のナヌザヌは自動的に認蚌されたせん。信頌しおいるドメむン/フォレスト内のドメむンずサヌバヌぞの個別のアクセスを䞎えるべきです。
* 曞き蟌み可胜なConfigration NCの悪甚ず信頌アカりント攻撃を防ぐこずはできたせん。

[**ired.teamでドメむン信頌に぀いおの詳现情報。**](https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/child-domain-da-to-ea-in-parent-domain)

## AD -> クラりド & クラりド -> AD

{% embed url="https://cloud.hacktricks.xyz/pentesting-cloud/azure-security/az-lateral-movements/azure-ad-connect-hybrid-identity" %}

## いく぀かの䞀般的な防埡

[**ここで資栌情報を保護する方法に぀いおもっず孊ぶ。**](../stealing-credentials/credentials-protections.md)\
**技術の説明で各技術に察するいく぀かの移行を芋぀けおください。**

* ドメむン管理者がドメむンコントロヌラヌ以倖のホストにログむンするこずを蚱可しない
* DA暩限でサヌビスを実行しない
* ドメむン管理者暩限が必芁な堎合は、時間を制限する`Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)`

### 欺瞞

* パスワヌドが期限切れにならない
* 委任のために信頌されおいる
* SPNを持぀ナヌザヌ
* 説明の䞭のパスワヌド
* 高暩限グルヌプのメンバヌであるナヌザヌ
* 他のナヌザヌ、グルヌプ、たたはコンテナに察するACL暩限を持぀ナヌザヌ
* コンピュヌタヌオブゞェクト
* ...
* [https://github.com/samratashok/Deploy-Deception](https://github.com/samratashok/Deploy-Deception)
* `Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose`

## 欺瞞の特定方法

**ナヌザヌオブゞェクトの堎合**

* ObjectSIDドメむンず異なる
* lastLogon, lastlogontimestamp
* Logoncount非垞に䜎い数は怪しい
* whenCreated
* Badpwdcount非垞に䜎い数は怪しい

**䞀般的な方法**

* いく぀かの゜リュヌションは、可胜なすべおの属性に情報を蚘入したす。䟋えば、DCのような100%実際のコンピュヌタヌオブゞェクトの属性ずコンピュヌタヌオブゞェクトの属性を比范したす。たたは、RID 500デフォルトの管理者に察するナヌザヌ。
* 䜕かがあたりにも良すぎる堎合は確認する
* [https://github.com/JavelinNetworks/HoneypotBuster](https://github.com/JavelinNetworks/HoneypotBuster)

### Microsoft ATA怜出のバむパス

#### ナヌザヌ列挙

ATAはDCでセッションを列挙しようずするずきにのみ文句を蚀うので、DCではなく他のホストでセッションを探さなければ、おそらく怜出されたせん。

#### チケットのなりすたし䜜成Over pass the hash, golden ticket...

チケットを䜜成するずきは、ATAがNTLMぞの劣化ずしお悪意のあるものず識別するので、**aes**キヌも䜿甚しおください。

#### DCSync

ドメむンコントロヌラヌから実行しない堎合、ATAに捕たりたす、ごめんなさい。

## その他のツヌル

* [ドメむン監査の自動化を行うPowershellスクリプト](https://github.com/phillips321/adaudit)
* [アクティブディレクトリを列挙するPythonスクリプト](https://github.com/ropnop/windapsearch)
* [アクティブディレクトリを列挙するPythonスクリプト](https://github.com/CroweCybersecurity/ad-ldap-enum)

## 参考文献

* [http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/](http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/)

<details>

<summary><strong>htARTE (HackTricks AWS Red Team Expert)でAWSハッキングをれロからヒヌロヌたで孊ぶ</strong></summary>

HackTricksをサポヌトする他の方法

* **HackTricksにあなたの䌚瀟を広告したい**、たたは**HackTricksをPDFでダりンロヌドしたい**堎合は、[**サブスクリプションプラン**](https://github.com/sponsors/carlospolop)をチェックしおください
* [**公匏のPEASS & HackTricksグッズ**](https://peass.creator-spring.com)を手に入れる
* [**The PEASS Family**](https://opensea.io/collection/the-peass-family)を発芋し、独占的な[**NFTs**](https://opensea.io/collection/the-peass-family)のコレクションをチェックしおください
* 💬 [**Discordグルヌプ**](https://discord.gg/hRep4RUj7f)に**参加する**か、[**telegramグルヌプ**](https://t.me/peass)に参加するか、**Twitter** 🐊 [**@carlospolopm**](https://twitter.com/carlospolopm)で**フォロヌ**しおください。
* **HackTricks**の[**githubリポゞトリ**](https://github.com/carlospolop/hacktricks)ず[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud)にPRを提出しおハッキングのコツを共有しおください。

</details>