48 KiB
Metodologia Active Directory
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.
Podstawowy przegląd
Active Directory służy jako technologia podstawowa, umożliwiając administratorom sieci efektywne tworzenie i zarządzanie domenami, użytkownikami i obiektami w sieci. Jest zaprojektowany w celu skalowania, ułatwiając organizację dużej liczby użytkowników w zarządzalne grupy i podgrupy, jednocześnie kontrolując prawa dostępu na różnych poziomach.
Struktura Active Directory składa się z trzech podstawowych warstw: domen, drzew i lasów. Domena obejmuje zbiór obiektów, takich jak użytkownicy lub urządzenia, które dzielą wspólną bazę danych. Drzewa to grupy tych domen połączone wspólną strukturą, a las reprezentuje zbiór wielu drzew, połączonych przez relacje zaufania, tworząc najwyższą warstwę struktury organizacyjnej. Na każdym z tych poziomów można określić konkretne prawa dostępu i komunikacji.
Kluczowe koncepcje w Active Directory obejmują:
- Katalog - Zawiera wszystkie informacje dotyczące obiektów Active Directory.
- Obiekt - Oznacza jednostki w katalogu, w tym użytkowników, grupy lub udostępnione foldery.
- Domena - Służy jako kontener dla obiektów katalogowych, z możliwością współistnienia wielu domen w lesie, z każdą utrzymującą własny zbiór obiektów.
- Drzewo - Grupowanie domen, które dzielą wspólną domenę nadrzędną.
- Las - Szczyt struktury organizacyjnej w Active Directory, składający się z kilku drzew z relacjami zaufania między nimi.
Usługi domenowe Active Directory (AD DS) obejmują szereg usług niezbędnych do scentralizowanego zarządzania i komunikacji w sieci. Usługi te obejmują:
- Usługi domenowe - Centralizuje przechowywanie danych i zarządza interakcjami między użytkownikami a domenami, w tym funkcjami uwierzytelniania i wyszukiwania.
- Usługi certyfikatów - Nadzoruje tworzenie, dystrybucję i zarządzanie bezpiecznymi certyfikatami cyfrowymi.
- Usługi lekkiego katalogu - Obsługuje aplikacje obsługujące katalog za pomocą protokołu LDAP.
- Usługi federacji katalogowej - Zapewnia możliwość jednokrotnego logowania w celu uwierzytelniania użytkowników w wielu aplikacjach internetowych w jednej sesji.
- Zarządzanie prawami - Pomaga w ochronie materiałów objętych prawami autorskimi, regulując ich nieautoryzowane rozpowszechnianie i wykorzystywanie.
- Usługa DNS - Istotna dla rozwiązywania nazw domenowych.
Aby uzyskać bardziej szczegółowe wyjaśnienie, sprawdź: TechTerms - Definicja Active Directory
Uwierzytelnianie Kerberos
Aby nauczyć się atakować AD, musisz bardzo dobrze zrozumieć proces uwierzytelniania Kerberos.
Przeczytaj tę stronę, jeśli wciąż nie wiesz, jak to działa.
Cheat Sheet
Możesz przejść do https://wadcoms.github.io/, aby szybko zobaczyć, jakie polecenia można uruchomić, aby wyliczyć/wykorzystać AD.
Rozpoznawanie Active Directory (bez poświadczeń/sesji)
Jeśli masz dostęp do środowiska AD, ale nie masz żadnych poświadczeń/sesji, możesz:
- Testuj sieć:
- Przeskanuj sieć, znajdź maszyny i otwarte porty, a następnie spróbuj wykorzystać podatności lub wydobyć poświadczenia z nich (na przykład drukarki mogą być bardzo interesującymi celami).
- Wyliczenie DNS może dostarczyć informacji o kluczowych serwerach w domenie, takich jak serwery WWW, drukarki, udziały, VPN, media itp.
gobuster dns -d domain.local -t 25 -w /opt/Seclist/Discovery/DNS/subdomain-top2000.txt
- Zapoznaj się z ogólną Metodologią Pentestingu, aby uzyskać więcej informacji na ten temat.
- Sprawdź dostęp do usług smb dla wartości null i Guest (to nie zadziała w nowoczesnych wersjach systemu Windows):
enum4linux -a -u "" -p "" <DC IP> && enum4linux -a -u "guest" -p "" <DC IP>
smbmap -u "" -p "" -P 445 -H <DC IP> && smbmap -u "guest" -p "" -P 445 -H <DC IP>
smbclient -U '%' -L //<DC IP> && smbclient -U 'guest%' -L //
- Bardziej szczegółowy przewodnik dotyczący wyliczania serwera SMB można znaleźć tutaj:
{% content-ref url="../../network-services-pentesting/pentesting-smb.md" %} pentesting-smb.md {% endcontent-ref %}
- Wyliczanie LDAP
nmap -n -sV --script "ldap* and not brute" -p 389 <DC IP>
- Bardziej szczegółowy przewodnik dotyczący wyliczania LDAP można znaleźć tutaj (zwróć szczególną uwagę na dostęp anonimowy):
{% content-ref url="../../network-services-pentesting/pentesting-ldap.md" %} pentesting-ldap.md {% endcontent-ref %}
- Zatrute sieć
- Zbieraj poświadczenia [**udając usługi za pomocą Res
Wyliczanie użytkowników
- Wyliczanie anonimowe SMB/LDAP: Sprawdź strony pentesting SMB i pentesting LDAP.
- Wyliczanie Kerbrute: Gdy zostanie żądane nieprawidłowe nazwa użytkownika, serwer odpowie kodem błędu Kerberos KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN, co pozwala nam stwierdzić, że nazwa użytkownika jest nieprawidłowa. Prawidłowe nazwy użytkowników spowodują odpowiedź zawierającą TGT w odpowiedzi AS-REP lub błąd KRB5KDC_ERR_PREAUTH_REQUIRED, wskazujący, że użytkownik musi wykonać wstępną autoryzację.
./kerbrute_linux_amd64 userenum -d lab.ropnop.com --dc 10.10.10.10 usernames.txt #From https://github.com/ropnop/kerbrute/releases
nmap -p 88 --script=krb5-enum-users --script-args="krb5-enum-users.realm='DOMAIN'" <IP>
Nmap -p 88 --script=krb5-enum-users --script-args krb5-enum-users.realm='<domain>',userdb=/root/Desktop/usernames.txt <IP>
msf> use auxiliary/gather/kerberos_enumusers
crackmapexec smb dominio.es -u '' -p '' --users | awk '{print $4}' | uniq
- Serwer OWA (Outlook Web Access)
Jeśli znalazłeś jeden z tych serwerów w sieci, możesz również przeprowadzić wyliczanie użytkowników przeciwko niemu. Na przykład, możesz użyć narzędzia MailSniper:
ipmo C:\Tools\MailSniper\MailSniper.ps1
# Get info about the domain
Invoke-DomainHarvestOWA -ExchHostname [ip]
# Enumerate valid users from a list of potential usernames
Invoke-UsernameHarvestOWA -ExchHostname [ip] -Domain [domain] -UserList .\possible-usernames.txt -OutFile valid.txt
# Password spraying
Invoke-PasswordSprayOWA -ExchHostname [ip] -UserList .\valid.txt -Password Summer2021
# Get addresses list from the compromised mail
Get-GlobalAddressList -ExchHostname [ip] -UserName [domain]\[username] -Password Summer2021 -OutFile gal.txt
{% hint style="warning" %} Możesz znaleźć listy nazw użytkowników w tym repozytorium GitHub **** oraz w tym (statistically-likely-usernames).
Jednak powinieneś mieć imiona i nazwiska osób pracujących w firmie z etapu rozpoznania, który powinieneś wykonać wcześniej. Z imieniem i nazwiskiem możesz użyć skryptu namemash.py, aby wygenerować potencjalnie prawidłowe nazwy użytkowników. {% endhint %}
Znając jedno lub kilka nazw użytkowników
Ok, więc wiesz, że masz już prawidłową nazwę użytkownika, ale nie masz hasła... W takim przypadku spróbuj:
- ASREPRoast: Jeśli użytkownik nie ma atrybutu DONT_REQ_PREAUTH, możesz żądać wiadomości AS_REP dla tego użytkownika, która będzie zawierać pewne dane zaszyfrowane za pomocą pochodnej hasła użytkownika.
- Password Spraying: Spróbuj najbardziej popularnych haseł dla każdego z odkrytych użytkowników, być może jakiś użytkownik używa słabego hasła (pamiętaj o polityce haseł!).
- Zauważ, że możesz również spróbować ataku na serwery OWA, aby uzyskać dostęp do skrzynek pocztowych użytkowników.
{% content-ref url="password-spraying.md" %} password-spraying.md {% endcontent-ref %}
Zatrucie LLMNR/NBT-NS
Możesz być w stanie uzyskać pewne skróty wyzwań do złamania, zatruwając niektóre protokoły sieciowe:
{% content-ref url="../../generic-methodologies-and-resources/pentesting-network/spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md" %} spoofing-llmnr-nbt-ns-mdns-dns-and-wpad-and-relay-attacks.md {% endcontent-ref %}
NTML Relay
Jeśli udało ci się wyliczyć katalog aktywnego, będziesz mieć więcej adresów e-mail i lepsze zrozumienie sieci. Możesz próbować ataków przekierowania NTML **** w celu uzyskania dostępu do środowiska AD.
Kradzież poświadczeń NTLM
Jeśli masz dostęp do innych komputerów lub udziałów za pomocą użytkownika null lub gościa, możesz umieścić pliki (np. plik SCF), które jeśli zostaną somehow accessed, spowodują uwierzytelnienie NTML przeciwko tobie, dzięki czemu możesz ukraść wyzwanie NTLM, aby je złamać:
{% content-ref url="../ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}
Wyliczanie katalogu aktywnego Z UŻYCIEM poświadczeń/sesji
W tej fazie musisz zdobyć poświadczenia lub sesję ważnego konta domeny. Jeśli masz ważne poświadczenia lub powłokę jako użytkownik domeny, pamiętaj, że opcje podane wcześniej nadal są opcjami do kompromitacji innych użytkowników.
Przed rozpoczęciem uwierzytelnionego wyliczania powinieneś wiedzieć, co to jest problem podwójnego skoku Kerberos.
{% content-ref url="kerberos-double-hop-problem.md" %} kerberos-double-hop-problem.md {% endcontent-ref %}
Wyliczanie
Posiadanie skompromitowanego konta to duży krok w kierunku kompromitacji całej domeny, ponieważ będziesz mógł rozpocząć Wyliczanie katalogu aktywnego:
W odniesieniu do ASREPRoast możesz teraz znaleźć wszystkich potencjalnie podatnych użytkowników, a w odniesieniu do Password Spraying możesz uzyskać listę wszystkich nazw użytkowników i sprawdzić hasło skompromitowanego konta, puste hasła i nowe obiecujące hasła.
- Możesz użyć CMD do wykonania podstawowego rozpoznania
- Możesz również użyć powershell do rozpoznania, co będzie bardziej stealthowe
- Możesz również użyć powerview, aby uzyskać bardziej szczegółowe informacje
- Innym niesamowitym narzędziem do rozpoznania w katalogu aktywnym jest BloodHound. Jest niezbyt stealthowy (w zależności od używanych metod zbierania danych), ale jeśli nie przeszkadza ci to, zdecydowanie warto spróbować. Znajdź, gdzie użytkownicy mogą się zdalnie połączyć, znajdź ścieżkę do innych grup itp.
- Inne zautomatyzowane narzędzia do wyliczania katalogu aktywnego to: AD Explorer, ADRecon, Group3r, PingCastle.
- Rekordy DNS AD, ponieważ mogą zawierać interesujące informacje.
- Narzędzie z interfejsem graficznym, które można użyć do wyliczania katalogu, to AdExplorer.exe z pakietu SysInternal Suite.
- Możesz również przeszukiwać bazę danych LDAP za pomocą ldapsearch, aby szukać poświadczeń w polach userPassword & unixUserPassword, a nawet w Description. Por. Hasło w komentarzu użytkownika AD na PayloadsAllTheThings dla innych metod.
- Jeśli używasz Linuxa, możesz również wyliczyć domenę za pomocą pywerview.
- Możesz również spróbować zautomatyzowanych narzędzi takich jak:
- tomcarver16/ADSearch
- 61106960/adPEAS
- Wyodrębnianie wszystkich użytkowników domeny
Bardzo łatwo uzyskać wszystkie nazwy użytkowników domeny w systemie Windows (net user /domain
, Get-DomainUser
lub wmic useraccount get name,sid
). W systemie Linux można użyć: GetADUsers.py -all -dc-ip 10.10.10.110 domain.com/username
lub enum4linux -a -u "user" -p "password" <DC IP>
Chociaż ta sekcja Wyliczanie wydaje się niewielka, jest to najważniejsza część. Przejdź do linków (głównie do cmd, powershell, powerview i BloodHound), naucz się, jak wyliczać domenę i ćwicz, aż poczujesz się komfortowo. Podczas oceny, to będzie kluczowy moment, aby znaleźć drogę do DA lub zdecydować, że nic nie można zrobić.
Kerberoasting
Kerberoasting polega na uzyskaniu biletów TGS używanych przez usługi powiązane z kontami użytkowników i złamaniu ich szyfrowania - które opiera się na hasłach użytkowników - offline.
Więcej na ten temat w:
{% content-ref url="kerberoast.md" %} kerberoast.md {% endcontent-ref %}
Połączenie zdalne (RDP, SSH, FTP, Win-RM, itp.)
Po uzyskaniu pewnych poświadczeń, możesz sprawdzić, czy masz dostęp do jakiejkolwiek maszyny. W tym celu możesz użyć CrackMapExec, aby spróbować połączyć się z kilkoma serwerami za pomocą różnych protokołów, zgodnie z przeskanowanymi portami.
Eskalacja uprawnień lokalnych
Jeśli masz skompromitowane poświadczenia lub sesję jako zwykły użytkownik domeny i masz dostęp do jakiejkolwiek maszyny w domenie za pomocą tego użytkownika, powinieneś spróbować znaleźć sposób na eskalację uprawnień lokalnych i zdobycie poświadczeń. Jest to konieczne, ponieważ tylko posiadając uprawnienia lokalnego administratora, będziesz w stanie wydobyć hashe innych użytkowników z pamięci (LSASS) i lokalnie (SAM).
W tej książce znajduje się kompletna strona na temat eskalacji uprawnień lokalnych w systemie Windows oraz checklista. Nie zapomnij również użyć narzędzia WinPEAS.
Bieżące bilety sesji
Jest mało prawdopodobne, że znajdziesz bilety w bieżącym użytkowniku, które dają ci uprawnienia do dostępu do nieoczekiwanych zasobów, ale możesz to sprawdzić:
## List all tickets (if not admin, only current user tickets)
.\Rubeus.exe triage
## Dump the interesting one by luid
.\Rubeus.exe dump /service:krbtgt /luid:<luid> /nowrap
[IO.File]::WriteAllBytes("ticket.kirbi", [Convert]::FromBase64String("<BASE64_TICKET>"))
NTML Relay
Jeśli udało ci się wyliczyć aktywny katalog, będziesz mieć więcej adresów e-mail i lepsze zrozumienie sieci. Możesz próbować przeprowadzić ataki przekazywania NTML.
Szukanie poświadczeń w udostępnionych folderach komputera
Teraz, gdy masz pewne podstawowe poświadczenia, powinieneś sprawdzić, czy możesz znaleźć jakieś interesujące pliki udostępniane wewnątrz AD. Możesz to zrobić ręcznie, ale to bardzo nudne i powtarzalne zadanie (zwłaszcza jeśli znajdziesz setki dokumentów, które musisz sprawdzić).
Kliknij tutaj, aby dowiedzieć się o narzędziach, których możesz użyć.
Kradzież poświadczeń NTLM
Jeśli masz dostęp do innych komputerów lub folderów, możesz umieścić pliki (np. plik SCF), które, jeśli zostaną w jakiś sposób otwarte, spowodują uwierzytelnienie NTML przeciwko tobie, dzięki czemu będziesz mógł ukraść wyzwanie NTLM, aby je złamać:
{% content-ref url="../ntlm/places-to-steal-ntlm-creds.md" %} places-to-steal-ntlm-creds.md {% endcontent-ref %}
CVE-2021-1675/CVE-2021-34527 PrintNightmare
Ta podatność umożliwiała każdemu uwierzytelnionemu użytkownikowi skompromitowanie kontrolera domeny.
{% content-ref url="printnightmare.md" %} printnightmare.md {% endcontent-ref %}
Eskalacja uprawnień w Active Directory Z uprzywilejowanymi poświadczeniami/sesją
Do wykonania poniższych technik nie wystarczy zwykły użytkownik domeny, potrzebujesz specjalnych uprawnień/poświadczeń, aby przeprowadzić te ataki.
Wydobycie haszy
Mam nadzieję, że udało ci się skompromitować konto lokalnego administratora za pomocą AsRepRoast, Password Spraying, Kerberoast, Responder wraz z przekazywaniem, EvilSSDP, eskalacji uprawnień lokalnych.
Nadszedł czas, aby wydobyć wszystkie hasze z pamięci i lokalnie.
Przeczytaj tę stronę, aby dowiedzieć się o różnych sposobach uzyskania haseł.
Przekazanie hasza
Po uzyskaniu hasza użytkownika możesz go użyć do udawania tego użytkownika.
Musisz użyć narzędzia, które przeprowadzi uwierzytelnianie NTLM, używając tego hasza, lub możesz utworzyć nową sesję logowania i wstrzyknąć ten hasz do LSASS, więc gdy zostanie wykonane jakiekolwiek uwierzytelnianie NTLM, ten hasz zostanie użyty. Ostatnia opcja to to, co robi mimikatz.
Przeczytaj tę stronę, aby uzyskać więcej informacji.
Over Pass the Hash/Pass the Key
Ten atak ma na celu użycie hasza NTLM użytkownika do żądania biletów Kerberos, jako alternatywy dla powszechnego przekazywania hasza za pośrednictwem protokołu NTLM. Dlatego może to być szczególnie użyteczne w sieciach, w których protokół NTLM jest wyłączony, a jedynie Kerberos jest dozwolony jako protokół uwierzytelniania.
{% content-ref url="over-pass-the-hash-pass-the-key.md" %} over-pass-the-hash-pass-the-key.md {% endcontent-ref %}
Przekazanie biletu
W metodzie ataku Pass The Ticket (PTT), atakujący kradnie bilet uwierzytelniania użytkownika zamiast hasła lub wartości skrótu. Skradziony bilet jest następnie używany do udawania użytkownika, uzyskując nieautoryzowany dostęp do zasobów i usług w sieci.
{% content-ref url="pass-the-ticket.md" %} pass-the-ticket.md {% endcontent-ref %}
Ponowne wykorzystanie poświadczeń
Jeśli masz hasz lub hasło lokalnego administratora, spróbuj zalogować się lokalnie na inne komputery za jego pomocą.
# Local Auth Spray (once you found some local admin pass or hash)
## --local-auth flag indicate to only try 1 time per machine
crackmapexec smb --local-auth 10.10.10.10/23 -u administrator -H 10298e182387f9cab376ecd08491764a0 | grep +
{% hint style="warning" %} Zauważ, że jest to dość hałaśliwe, a LAPS może to zmniejszyć. {% endhint %}
Nadużycie MSSQL i zaufane linki
Jeśli użytkownik ma uprawnienia do dostępu do instancji MSSQL, może go wykorzystać do wykonywania poleceń na hoście MSSQL (jeśli działa jako SA), kradzieży hasha NetNTLM lub nawet przeprowadzenia ataków przekazywania.
Ponadto, jeśli instancja MSSQL jest zaufana (link bazy danych) przez inną instancję MSSQL. Jeśli użytkownik ma uprawnienia do zaufanej bazy danych, będzie mógł używać relacji zaufania do wykonywania zapytań również w innej instancji. Te zaufania mogą być łańcuchowe i w pewnym momencie użytkownik może znaleźć źle skonfigurowaną bazę danych, w której może wykonywać polecenia.
Linki między bazami danych działają nawet w przypadku zaufania między lasami.
{% content-ref url="abusing-ad-mssql.md" %} abusing-ad-mssql.md {% endcontent-ref %}
Nieograniczone przekazywanie
Jeśli znajdziesz jakikolwiek obiekt komputera z atrybutem ADS_UF_TRUSTED_FOR_DELEGATION i masz uprawnienia domeny na tym komputerze, będziesz mógł wydobyć TGT z pamięci każdego użytkownika, który loguje się na ten komputer.
Więc jeśli administrator domeny zaloguje się na ten komputer, będziesz mógł wydobyć jego TGT i podszywać się pod niego, używając Pass the Ticket.
Dzięki ograniczonemu przekazywaniu możesz nawet automatycznie przejąć serwer drukowania (oby był to DC).
{% content-ref url="unconstrained-delegation.md" %} unconstrained-delegation.md {% endcontent-ref %}
Ograniczone przekazywanie
Jeśli użytkownik lub komputer ma uprawnienia do "Ograniczonego przekazywania", będzie mógł udawać dowolnego użytkownika, aby uzyskać dostęp do niektórych usług na komputerze.
Następnie, jeśli uzyskasz dostęp do hasha tego użytkownika/komputera, będziesz mógł udawać dowolnego użytkownika (nawet administratorów domeny), aby uzyskać dostęp do niektórych usług.
{% content-ref url="constrained-delegation.md" %} constrained-delegation.md {% endcontent-ref %}
Ograniczone przekazywanie oparte na zasobach
Posiadanie uprawnień WRITE do obiektu Active Directory zdalnego komputera umożliwia wykonanie kodu z podwyższonymi uprawnieniami:
{% content-ref url="resource-based-constrained-delegation.md" %} resource-based-constrained-delegation.md {% endcontent-ref %}
Nadużycie ACL
Skompromitowany użytkownik może mieć pewne interesujące uprawnienia wobec niektórych obiektów domeny, które mogą umożliwić przesuwanie się po boku/podwyższanie uprawnień.
{% content-ref url="acl-persistence-abuse/" %} acl-persistence-abuse {% endcontent-ref %}
Nadużycie usługi drukowania
Odkrycie nasłuchującej usługi drukowania w domenie może być nadużywane do uzyskania nowych poświadczeń i podwyższenia uprawnień.
{% content-ref url="acl-persistence-abuse/" %} printers-spooler-service-abuse {% endcontent-ref %}
Nadużycie sesji osób trzecich
Jeśli inni użytkownicy uzyskają dostęp do skompromitowanego komputera, można pobrać poświadczenia z pamięci i nawet wstrzyknąć beacons w ich procesy, aby udawać ich.
Zwykle użytkownicy będą uzyskiwać dostęp do systemu za pomocą RDP, więc tutaj masz, jak przeprowadzić kilka ataków na sesje RDP osób trzecich:
{% content-ref url="rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}
LAPS
LAPS zapewnia system zarządzania hasłem lokalnego administratora na komputerach dołączonych do domeny, zapewniając, że jest losowe, unikalne i często zmieniane. Te hasła są przechowywane w Active Directory, a dostęp jest kontrolowany za pomocą list kontroli dostępu (ACL) tylko dla uprawnionych użytkowników. Posiadając wystarczające uprawnienia do dostępu do tych haseł, możliwe staje się przechodzenie do innych komputerów.
{% content-ref url="laps.md" %} laps.md {% endcontent-ref %}
Kradzież certyfikatów
Pobieranie certyfikatów z zainfekowanego komputera może być sposobem na podwyższenie uprawnień w środowisku:
{% content-ref url="ad-certificates/certificate-theft.md" %} certificate-theft.md {% endcontent-ref %}
Nadużycie szablonów certyfikatów
Jeśli są skonfigurowane podatne szablony, można je nadużywać do podwyższania uprawnień:
{% content-ref url="ad-certificates/domain-escalation.md" %} domain-escalation.md {% endcontent-ref %}
Post-eksploatacja z kontem o wysokich uprawnieniach
Wydobywanie poświadczeń domeny
Po uzyskaniu uprawnień administratora domeny lub nawet lepiej administratora przedsiębiorstwa, można wydobyć bazę danych domeny: ntds.dit.
Więcej informacji na temat ataku DCSync można znaleźć tutaj.
Więcej informacji na temat kradzieży NTDS.dit można znaleźć tutaj
Przywileje jako trwałość
Niektóre z omówionych wcześniej technik można wykorzystać do trwałości.
Na przykład można:
- Uczynić użytkowników podatnymi na Kerberoast
Set-DomainObject -Identity <nazwa_użytkownika> -Set @{serviceprincipalname="fake/NOTHING"}r
- Uczynić użytkowników podatnymi na ASREPRoast
Set-DomainObject -Identity <nazwa_użytkownika> -XOR @{UserAccountControl=4194304}
- Przyznać uprawnienia DCSync użytkownikowi
Add-DomainObjectAcl -TargetIdentity "DC=SUB,DC=DOMAIN,DC=LOCAL" -PrincipalIdentity bfarmer -Rights DCSync
Bilet srebrny
Atak Silver Ticket tworzy legitymacyjny bilet usługi Ticket Granting Service (TGS) dla określonej usługi, używając hasza NTLM (na przykład hasza konta PC). Ta metoda jest stosowana do uzyskania dostępu do uprawnień usługi.
{% content-ref url="silver-ticket.md" %} silver-ticket.md {% endcontent-ref %}
Bilet złoty
Atak Golden Ticket polega na uzyskaniu dostępu do hasza NTLM konta krbtgt w środowisku Active Directory (AD). To konto jest specjalne, ponieważ służy do podpisywania wszystkich Ticket Granting Tickets (TGT), które są niezbędne do uwierzytelniania w sieci AD.
Po uzyskaniu tego hasza, atakujący może tworzyć TGT dla dowolnego wybranego konta (atak Silver ticket).
{% content-ref url="golden-ticket.md" %} golden-ticket.md {% endcontent-ref %}
Bilet diamentowy
Są to jak złote bilety sfałszowane w taki sposób, że **omijają powszechne mechanizmy wykrywania złotych b
Trwałość domeny za pomocą certyfikatów
Za pomocą certyfikatów można również trwale zasiedlić domenę z wysokimi uprawnieniami:
{% content-ref url="ad-certificates/domain-persistence.md" %} domain-persistence.md {% endcontent-ref %}
Grupa AdminSDHolder
Obiekt AdminSDHolder w Active Directory zapewnia bezpieczeństwo grup uprzywilejowanych (takich jak Administratorzy domeny i Administratorzy przedsiębiorstwa), stosując standardową listę kontroli dostępu (ACL) dla tych grup w celu zapobiegania nieautoryzowanym zmianom. Jednak ta funkcja może być wykorzystana; jeśli atakujący zmodyfikuje ACL AdminSDHolder, aby dać pełny dostęp zwykłemu użytkownikowi, ten użytkownik uzyskuje rozległą kontrolę nad wszystkimi grupami uprzywilejowanymi. Ta środek bezpieczeństwa, mający na celu ochronę, może więc przynieść odwrotny skutek, umożliwiając nieuprawniony dostęp, chyba że jest śledzony.
Więcej informacji na temat grupy AdminSDHolder tutaj.
DSRM Credentials
W każdym kontrolerze domeny (DC) istnieje lokalne konto administratora. Uzyskując uprawnienia administratora na takim urządzeniu, można wyodrębnić skrót lokalnego administratora za pomocą mimikatz. Następnie konieczna jest modyfikacja rejestru w celu włączenia użycia tego hasła, umożliwiając zdalny dostęp do konta lokalnego administratora.
{% content-ref url="dsrm-credentials.md" %} dsrm-credentials.md {% endcontent-ref %}
Trwałość ACL
Możesz przyznać pewne specjalne uprawnienia użytkownikowi w odniesieniu do określonych obiektów domenowych, które pozwolą użytkownikowi zwiększyć uprawnienia w przyszłości.
{% content-ref url="acl-persistence-abuse/" %} acl-persistence-abuse {% endcontent-ref %}
Deskryptory zabezpieczeń
Deskryptory zabezpieczeń są używane do przechowywania uprawnień, jakie obiekt ma nad innym obiektem. Jeśli możesz wykonać małą zmianę w deskryptorze zabezpieczeń obiektu, możesz uzyskać bardzo interesujące uprawnienia do tego obiektu, nie będąc członkiem grupy uprzywilejowanej.
{% content-ref url="security-descriptors.md" %} security-descriptors.md {% endcontent-ref %}
Skeleton Key
Zmodyfikuj LSASS w pamięci, aby ustawić uniwersalne hasło, umożliwiające dostęp do wszystkich kont domenowych.
{% content-ref url="skeleton-key.md" %} skeleton-key.md {% endcontent-ref %}
Niestandardowy SSP
Dowiedz się, czym jest SSP (Security Support Provider) tutaj.
Możesz stworzyć własny SSP, aby przechwycić w czystym tekście dane uwierzytelniające używane do dostępu do maszyny.\
{% content-ref url="custom-ssp.md" %} custom-ssp.md {% endcontent-ref %}
DCShadow
Rejestruje nowy kontroler domeny w AD i używa go do wprowadzania atrybutów (SIDHistory, SPN...) na określone obiekty bez pozostawiania logów dotyczących modyfikacji. Potrzebujesz uprawnień DA i musisz znajdować się w domenie głównej.
Należy pamiętać, że jeśli użyjesz nieprawidłowych danych, pojawią się nieładne logi.
{% content-ref url="dcshadow.md" %} dcshadow.md {% endcontent-ref %}
Trwałość LAPS
Wcześniej omówiliśmy, jak zwiększyć uprawnienia, jeśli masz wystarczające uprawnienia do odczytu haseł LAPS. Jednak te hasła można również wykorzystać do utrzymania trwałości.
Sprawdź:
{% content-ref url="laps.md" %} laps.md {% endcontent-ref %}
Eskalacja uprawnień w lesie - Zaufanie domenowe
Microsoft traktuje Las jako granicę bezpieczeństwa. Oznacza to, że skompromitowanie pojedynczej domeny może potencjalnie prowadzić do skompromitowania całego Lasu.
Podstawowe informacje
Zaufanie domenowe to mechanizm bezpieczeństwa, który umożliwia użytkownikowi z jednej domeny dostęp do zasobów w innej domenie. Tworzy ono połączenie między systemami uwierzytelniania dwóch domen, umożliwiając płynne przepływanie weryfikacji uwierzytelniania. Gdy domeny ustanawiają zaufanie, wymieniają i przechowują określone klucze w swoich kontrolerach domeny (DC), które są kluczowe dla integralności zaufania.
W typowym scenariuszu, jeśli użytkownik chce uzyskać dostęp do usługi w zaufanej domenie, musi najpierw poprosić o specjalny bilet znanym jako inter-realm TGT od swojego własnego DC domeny. Ten TGT jest szyfrowany za pomocą wspólnego klucza, na który obie domeny się zgodziły. Następnie użytkownik przedstawia ten TGT DC zaufanej domeny, aby uzyskać bilet usługi (TGS). Po pomyślnym zweryfikowaniu inter-realm TGT przez DC zaufanej domeny, wydaje on TGS, udzielając użytkownikowi dostępu do usługi.
Kroki:
- Komputer klienta w Domenie 1 rozpoczyna proces, używając swojego skrótu NTLM do żądania Ticket Granting Ticket (TGT) od swojego kontrolera domeny (DC1).
- DC1 wydaje nowe TGT, jeśli klient zostanie pomyślnie uwierzytelniony.
- Klient następnie żąda inter-realm TGT od DC1, który jest potrzebny do dostępu do zasobów w Domenie 2.
- Inter-realm TGT jest szyfrowany za pomocą klucza zaufania współdzielonego między DC1 a DC2 jako część dwukierunkowego zaufania między domenami.
- Klient zabiera inter-realm TGT do kontrolera domeny (DC2) Domeny 2.
- DC2 weryfikuje inter-realm TGT za pomocą współdzielonego klucza zaufania i jeśli jest ważny, wydaje Ticket Granting Service (TGS) dla serwera w Domenie 2, do którego klient chce uzyskać dostęp.
- Wreszcie klient przedstawia ten TGS serwerowi, który jest szyfrowany za pomocą skrótu konta serwera, aby uzyskać dostęp do usługi w Domenie 2.
Różne zaufania
Warto zauważyć, że zaufanie może być jednostronne lub dwustronne. W przypadku dwustronnych opcji obie domeny będą sobie ufać, ale w relacji zaufania **jednostr
Inne różnice w relacjach zaufania
- Relacja zaufania może być również przekazywalna (A ufa B, B ufa C, wtedy A ufa C) lub nieprzekazywalna.
- Relacja zaufania może być ustanowiona jako dwukierunkowa (oba ufają sobie nawzajem) lub jako jednokierunkowa (tylko jedno z nich ufa drugiemu).
Ścieżka ataku
- Wylicz relacje zaufania.
- Sprawdź, czy jakikolwiek podmiot bezpieczeństwa (użytkownik/grupa/komputer) ma dostęp do zasobów innego domeny, być może poprzez wpisy ACE lub poprzez przynależność do grupy z innej domeny. Szukaj relacji między domenami (prawdopodobnie relacja zaufania została utworzona w tym celu).
- W tym przypadku kerberoast może być inną opcją.
- Skompromituj konta, które mogą przejść przez domeny.
Atakujący mogą uzyskać dostęp do zasobów w innej domenie za pomocą trzech podstawowych mechanizmów:
- Przynależność do lokalnej grupy: Podmioty mogą zostać dodane do lokalnych grup na maszynach, takich jak grupa "Administratorzy" na serwerze, co daje im znaczącą kontrolę nad tą maszyną.
- Przynależność do grupy z obcej domeny: Podmioty mogą również być członkami grup w obcej domenie. Jednak skuteczność tego sposobu zależy od charakteru relacji zaufania i zakresu grupy.
- Listy kontroli dostępu (ACL): Podmioty mogą być określone w ACL, zwłaszcza jako jednostki w ACE w DACL, co daje im dostęp do określonych zasobów. Dla tych, którzy chcą zagłębić się w mechanikę ACL, DACL i ACE, wartościowym źródłem informacji jest whitepaper o tytule "An ACE Up The Sleeve".
Eskalacja uprawnień w lesie od dziecka do rodzica
Get-DomainTrust
SourceName : sub.domain.local --> current domain
TargetName : domain.local --> foreign domain
TrustType : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : WITHIN_FOREST --> WITHIN_FOREST: Both in the same forest
TrustDirection : Bidirectional --> Trust direction (2ways in this case)
WhenCreated : 2/19/2021 1:28:00 PM
WhenChanged : 2/19/2021 1:28:00 PM
{% hint style="warning" %}
Istnieją 2 zaufane klucze, jeden dla Dziecko --> Rodzic i drugi dla Rodzic --> Dziecko.
Możesz sprawdzić ten używany przez bieżącą domenę za pomocą:
Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.my.domain.local
Invoke-Mimikatz -Command '"lsadump::dcsync /user:dcorp\mcorp$"'
{% endhint %}
Wstrzykiwanie SID-History
Eskalacja jako administrator przedsiębiorstwa do domeny podrzędnej/rodzicielskiej, wykorzystując zaufanie poprzez wstrzykiwanie SID-History:
{% content-ref url="sid-history-injection.md" %} sid-history-injection.md {% endcontent-ref %}
Wykorzystanie zapisywalnego NC konfiguracji
Zrozumienie, jak można wykorzystać NC konfiguracji (Configuration Naming Context), jest kluczowe. NC konfiguracji służy jako centralne repozytorium danych konfiguracyjnych w środowiskach Active Directory (AD). Te dane są replikowane do każdego kontrolera domeny (DC) w obrębie lasu, a kontrolery DC zapisywalne utrzymują zapisywalną kopię NC konfiguracji. Aby wykorzystać to, trzeba mieć uprawnienia SYSTEM na DC, najlepiej na DC podrzędnym.
Połącz GPO z główną lokalizacją DC
Kontener Sites NC konfiguracji zawiera informacje o lokalizacjach wszystkich komputerów dołączonych do domeny w obrębie lasu AD. Działając z uprawnieniami SYSTEM na dowolnym DC, atakujący może połączyć GPO z głównymi lokalizacjami DC. Ta akcja potencjalnie kompromituje domenę główną poprzez manipulację politykami stosowanymi do tych lokalizacji.
Aby uzyskać szczegółowe informacje, można zapoznać się z badaniami na temat Bypassing SID Filtering.
Skompromituj dowolne gMSA w lesie
Wektor ataku polega na celowaniu w uprzywilejowane gMSA w obrębie domeny. Klucz KDS Root, niezbędny do obliczania haseł gMSA, jest przechowywany w NC konfiguracji. Dzięki uprawnieniom SYSTEM na dowolnym DC możliwe jest uzyskanie dostępu do klucza KDS Root i obliczenie haseł dla dowolnej gMSA w całym lesie.
Szczegółowa analiza znajduje się w dyskusji na temat Golden gMSA Trust Attacks.
Atak na zmianę schematu
Ta metoda wymaga cierpliwości, oczekiwania na utworzenie nowych uprzywilejowanych obiektów AD. Dzięki uprawnieniom SYSTEM atakujący może zmodyfikować schemat AD, aby przyznać dowolnemu użytkownikowi pełną kontrolę nad wszystkimi klasami. Może to prowadzić do nieautoryzowanego dostępu i kontroli nad nowo utworzonymi obiektami AD.
Więcej informacji można znaleźć w artykule Schema Change Trust Attacks.
Od DA do EA z ADCS ESC5
Podatność ADCS ESC5 dotyczy kontroli nad obiektami infrastruktury klucza publicznego (PKI), aby utworzyć szablon certyfikatu umożliwiający uwierzytelnianie jako dowolny użytkownik w obrębie lasu. Ponieważ obiekty PKI znajdują się w NC konfiguracji, skompromitowanie zapisywalnego DC podrzędnego umożliwia przeprowadzenie ataków ESC5.
Więcej szczegółów na ten temat można przeczytać w artykule From DA to EA with ESC5. W przypadku braku ADCS, atakujący ma możliwość skonfigurowania niezbędnych komponentów, o czym mówi Eskalacja od administratorów domeny podrzędnej do administratorów przedsiębiorstwa.
Zewnętrzna domena lasu - jednokierunkowa (przychodząca) lub dwukierunkowa
Get-DomainTrust
SourceName : a.domain.local --> Current domain
TargetName : domain.external --> Destination domain
TrustType : WINDOWS-ACTIVE_DIRECTORY
TrustAttributes :
TrustDirection : Inbound --> Inboud trust
WhenCreated : 2/19/2021 10:50:56 PM
WhenChanged : 2/19/2021 10:50:56 PM
W tym scenariuszu twoja domena jest zaufana przez zewnętrzną domenę, co daje ci nieokreślone uprawnienia nad nią. Będziesz musiał znaleźć jakie podmioty twojej domeny mają jakie dostępy do zewnętrznej domeny i spróbować je wykorzystać:
{% content-ref url="external-forest-domain-oneway-inbound.md" %} external-forest-domain-oneway-inbound.md {% endcontent-ref %}
Zewnętrzna domena leśna - jednokierunkowa (wychodząca)
Get-DomainTrust -Domain current.local
SourceName : current.local --> Current domain
TargetName : external.local --> Destination domain
TrustType : WINDOWS_ACTIVE_DIRECTORY
TrustAttributes : FOREST_TRANSITIVE
TrustDirection : Outbound --> Outbound trust
WhenCreated : 2/19/2021 10:15:24 PM
WhenChanged : 2/19/2021 10:15:24 PM
W tym scenariuszu twoja domena udziela pewnych uprawnień podmiotowi z innej domeny.
Jednak gdy domena jest zaufana przez domenę zaufaną, domena zaufana tworzy użytkownika o przewidywalnej nazwie, który używa jako hasła zaufanego hasła. Oznacza to, że możliwe jest uzyskanie dostępu do użytkownika z domeny zaufanej, aby dostać się do domeny zaufanej i przeprowadzić jej enumerację oraz próbować eskalacji uprawnień:
{% content-ref url="external-forest-domain-one-way-outbound.md" %} external-forest-domain-one-way-outbound.md {% endcontent-ref %}
Innym sposobem na skompromitowanie domeny zaufanej jest znalezienie zaufanego połączenia SQL utworzonego w przeciwnym kierunku do zaufania domeny (co nie jest zbyt powszechne).
Innym sposobem na skompromitowanie domeny zaufanej jest czekanie na maszynie, do której użytkownik z domeny zaufanej ma dostęp, aby zalogować się za pomocą RDP. Następnie atakujący mógłby wstrzyknąć kod w proces sesji RDP i uzyskać dostęp do domeny pochodzenia ofiary.
Ponadto, jeśli ofiara zamontowała swój dysk twardy, atakujący mógłby przechowywać tylnymi drzwiami w folderze uruchamiania dysku twardego z procesu sesji RDP. Ta technika nazywa się RDPInception.
{% content-ref url="rdp-sessions-abuse.md" %} rdp-sessions-abuse.md {% endcontent-ref %}
Zapobieganie nadużyciom zaufania domeny
Filtrowanie SID:
- Ryzyko ataków wykorzystujących atrybut historii SID w zaufanych lasach jest ograniczone przez filtrowanie SID, które jest domyślnie aktywowane we wszystkich zaufanych lasach. Założeniem jest, że zaufane lasy są bezpieczne, biorąc pod uwagę las, a nie domenę, jako granicę bezpieczeństwa zgodnie z podejściem Microsoftu.
- Jednak jest pewne ograniczenie: filtrowanie SID może zakłócać działanie aplikacji i dostęp użytkowników, co czasami prowadzi do jego dezaktywacji.
Autoryzacja selektywna:
- W przypadku zaufanych lasów, zastosowanie autoryzacji selektywnej zapewnia, że użytkownicy z dwóch lasów nie są automatycznie uwierzytelniani. Zamiast tego wymagane są jasne uprawnienia, aby użytkownicy mogli uzyskać dostęp do domen i serwerów w obrębie domeny lub lasu zaufanego.
- Ważne jest zauważenie, że te środki nie chronią przed wykorzystaniem zapisywalnego kontekstu nazwy konfiguracji (NC) ani przed atakami na konto zaufania.
Więcej informacji na temat zaufania domenowego na stronie ired.team.
AD -> Azure & Azure -> AD
{% embed url="https://cloud.hacktricks.xyz/pentesting-cloud/azure-security/az-lateral-movements/azure-ad-connect-hybrid-identity" %}
Kilka ogólnych zabezpieczeń
Dowiedz się więcej o ochronie poświadczeń tutaj.\
Środki obronne dla ochrony poświadczeń
- Ograniczenia administratorów domeny: Zaleca się, aby administratorzy domeny mieli możliwość logowania się tylko do kontrolerów domeny, unikając ich użycia na innych hostach.
- Uprawnienia konta usługi: Usługi nie powinny być uruchamiane z uprawnieniami administratora domeny (DA) w celu utrzymania bezpieczeństwa.
- Ograniczenie czasowe uprawnień: Czas trwania zadań wymagających uprawnień DA powinien być ograniczony. Można to osiągnąć za pomocą polecenia:
Add-ADGroupMember -Identity ‘Domain Admins’ -Members newDA -MemberTimeToLive (New-TimeSpan -Minutes 20)
Wdrażanie technik dezinformacyjnych
- Wdrażanie dezinformacji polega na ustawianiu pułapek, takich jak użytkownicy lub komputery-pułapki, z cechami takimi jak hasła, które nie wygasają lub są oznaczone jako zaufane do delegacji. Szczegółowe podejście obejmuje tworzenie użytkowników o określonych uprawnieniach lub dodawanie ich do grup o wysokich uprawnieniach.
- Praktycznym przykładem jest użycie narzędzi takich jak:
Create-DecoyUser -UserFirstName user -UserLastName manager-uncommon -Password Pass@123 | DeployUserDeception -UserFlag PasswordNeverExpires -GUID d07da11f-8a3d-42b6-b0aa-76c962be719a -Verbose
- Więcej informacji na temat wdrażania technik dezinformacyjnych można znaleźć na stronie Deploy-Deception na GitHub.
Identyfikowanie dezinformacji
- Dla obiektów użytkowników: Podejrzane wskaźniki obejmują nietypowy ObjectSID, rzadkie logowania, daty utworzenia i niskie liczniki złych haseł.
- Ogólne wskaźniki: Porównanie atrybutów potencjalnych obiektów-pułapek z atrybutami prawdziwych obiektów może ujawnić niezgodności. Narzędzia takie jak HoneypotBuster mogą pomóc w identyfikacji takich dezinformacji.
Ominiecie systemów wykrywania
- Ominięcie wykrywania Microsoft ATA:
- Wyliczanie użytkowników: Unikanie wyliczania sesji na kontrolerach domeny w celu uniknięcia wykrycia przez ATA.
- Podszywanie się pod bilet: Wykorzystanie kluczy aes do tworzenia biletów pomaga uniknąć wykrycia poprzez brak degradacji do NTLM.
- Ataki DCSync: Zaleca się wykonanie ich z maszyny niebędącej kontrolerem domeny, aby uniknąć wykrycia przez ATA, ponieważ bezpośrednie wykonanie z kontrolera domeny spowoduje wygenerowanie alertów.
Odnośniki
- http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/
- https://www.labofapenetrationtester.com/2018/10/deploy-deception.html
- https://ired.team/offensive-security-experiments/active-directory-kerberos-abuse/child-domain-da-to-ea-in-parent-domain
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!
Inne sposoby wsparcia HackTricks:
- Jeśli chcesz zobaczyć reklamę swojej firmy w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCYJNY!
- Zdobądź oficjalne gadżety PEASS & HackTricks
- Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
- Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @carlospolopm.
- Podziel się swoimi trikami hakerskimi, przesyłając PR do HackTricks i HackTricks Cloud github