Ired.Team From Domain Admin to Enterprise Admin

Overview

Ở lab này ta sẽ lợi dụng mối quan hệ giữa Parent-Child domain từ đó lợi dụng mối quan hệ đó và gây nên leo thang đặc quyền.

Build lab

SetUp domain đặt tên là offense.local đây là domain cha với IP là 192.168.10.10/24 và DNS: 127.0.0.1.

Đã cài xong Active Directory Domain Services (AD DS).
Đã promote máy thành Domain Controller cho domain: offense.local.
Đã có DNS Server chạy trên DC.
Đang dùng VMware host-only network.

Sau đó setup máy red.offense đưa nó vào domain offense.local.

Gán ip sau đó set DNS trỏ đến ip của máy parent.local.

Network Adapter: Host-only
IP: 192.688.10.20/24
DNS: 192.168.10.10 (MANTVYDAS DC - offense local).

Parent-child domain

Ở đây cài đặt domain red.offense là con của offense.local ở đây khi mình truy cập vào Active Directory Domains and Trusts ở đây ta thấy nó cho ta thấy mối quan hệ giữa 2 domains và bên cạnh đó và default trust của 2 domains đó.

Ở đây ta sử dụng lệnh ở cả 2 domain để kiểm tra :

1	Get-ADTrust -Filter *

Console đầu tiên show cho ta thấy được mối quan hệ giữa 2 domain trust ở đây là console của offense.local nó cho ta thấy nó là Name : red.offense.local.
Console thứ 2 cũng thể hiện mối quan hệ tương tự giữa 2 domains.
Ta để ý rằng cái Direction là BiDirectional điều đó có nghĩa là các thành viên có thể xác thực từ domain này sang domain khác khi họ muốn truy cập vào các resources được chia sẻ.

Sử dụng lệnh nltest /domain_trusts.Thông tin tương tự nhưng rất đơn giản có thể được thu thập từ tệp nhị phân Windows.

Tương tự ta sử dụng lệnh dưới đây để lấy được thông tin tương tự như bên trên :

1	([System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()).GetAllTrustRelationships()

SourceName với TargetName đã thể hiện và TrustType là ParentChild.

Forest Trust

Tạo một máy DC-BLUE có domain là defense.local sau đó đưa 2 cái DC là MANTVYDAS và BLUE vào cùng dải ip và cùng DNS Zone.

SetUp DNS Forward ở cả 2 máy bây giờ 2 máy hoàn toàn có thể nslookup được cho nhau.

Tiến hành config forest trust cho defense.local cho offense.localở đây ta tạo incoming trust.

Giờ ta hoàn toàn có thể truy cập dữ liệu của máy defense.local bằng máy offense.local nhưng máy defense sẽ không thể làm được điều ngược lại lí do là vì nó không được máy offense trust, user trên dc-mantvydas.offense.local không thể chia sẻ thư mục với defense\administrator ==(vì offensive.local không tin tưởng defense.local)==.

From DA to EA

Bây giờ ta sẽ đi đến với kỹ thuật biến từ Domain Admin thành Enterprise Admin dựa theo kỹ thuật có sẵn.

# Tạo user
New-ADUser -Name "spotless" -SamAccountName "spotless" -Enabled $true -AccountPassword (ConvertTo-SecureString "Password123!" -AsPlainText -Force)

# Gán vào Domain Admins
Add-ADGroupMember -Identity "Domain Admins" -Members "spotless"

Ta sẽ tạo user ở DC-RED là user spotless và đưa user đó vào thành Domain Admin.

Bây giờ nó đã là child admin ở đây mình sẽ không dùng empire powershell mà demo tấn công theo cách khác ở đây ta bỏ qua bước AD recon với lateral movement vì empire bị lỗi ta sẽ vào thẳng shell của dc-red luôn.