コンテンツ
序文
この記事では、「イントラネットのセキュリティ攻撃と防御:侵入テストの実用ガイド」を読み、学習し続けます。この章では、クロスドメイン攻撃の分析と防御について説明します。ドメインの信頼関係を使用してクロスドメインを実現する一般的な方法を分析します。ドメイン攻撃、および安全なイントラネット本番環境を展開する方法は、非常に簡単なアドバイスを提供します
大企業は通常、ドメインフォレストを介してリソースを共有します
- さまざまな機能に応じて、部門は論理的にメインドメインとサブドメインに分割され、統合管理が容易になります。
- 物理層では、ファイアウォールは通常、子会社と部門を異なる領域に分割するために使用されます
- 攻撃者が子会社または部門の新しいドメインコントローラーを取得したが、会社全体のイントラネットのすべての権限を持っていない場合(または必要なリソースがこのドメインにない場合)、攻撃者は他の部門を取得しようとすることがよくあります(またはドメイン)権限
1.クロスドメイン攻撃方式
一般的なクロスドメイン攻撃方法は次のとおりです。
- 従来の侵入方法(Webの脆弱性を悪用してドメイン間でアクセス許可を取得するなど)
- 既知のドメインハッシュ値を使用したパスザハッシュ攻撃またはパスザチケット攻撃(たとえば、DCのローカル管理者パスワードは同じです)
- ドメインの信頼関係を使用したクロスドメイン攻撃
2.ドメインの信頼関係を使用したクロスドメイン攻撃
1.ドメイントラストの概要
ドメインの信頼の役割は、マルチドメイン環境でのクロスドメインリソース共有の問題を解決することです。
- デフォルトでは、特定のWindowsドメインのすべてのユーザーは、そのドメインのリソースで認証できます
- ドメイン環境は、他のドメインからの資格情報を無条件に受け入れません。ユーザーが現在のドメイン境界外のリソースにアクセスする場合は、ドメインの信頼を使用する必要があります。
- ドメインの信頼は、別のドメインのユーザーが認証された後にこのドメインのリソースにアクセスできるようにするためのドメインのメカニズムです。
- Windows Server 2003以降、ドメインの信頼関係は双方向になり、信頼関係を通過できるようになります
- ドメイン管理者グループのユーザーのみがドメインの信頼関係を管理できます
2.ドメイン情報を取得します
ドメインでは、Enterprise Adminsグループのメンバー(フォレストのルートドメインにのみ存在)が、フォレスト内のすべてのドメインを完全に制御できます。デフォルトでは、このグループには、フォレスト内のすべてのドメインコントローラーに対する管理者権限を持つメンバーが含まれます
LG.exeを使用します。これは、リモートホストのユーザーとグループの情報を列挙するために使用できるツールです。
//枚举域中的用户组
lg.exe <domain name>\.
//枚举远程机器的本地组用户
lg.exe \\dc
//获取远程用户中全部用户的SID
lg.exe \\dc -lu -sidsout
//获取指定组中所有成员的SID
lg.exe \\dc\administrators -sidsout
3.ドメイン信頼キー(NTLMハッシュ)を使用して、ターゲットドメインの権限を取得します
mimikatzを使用して信頼キーをエクスポートして信頼チケットを偽造し(sidHistoryを使用)、asktgsを使用してTGSを要求し、kirbikatorを使用してTGS情報をメモリに挿入し、ターゲットドメインのアクセス許可を取得します。
mimikatzを使用すると、ゴールデンチケットを作成するときにsidHistoryを設定できるため、攻撃者が任意のドメインのkrbtgtハッシュを取得した場合、攻撃者はsidHistoryを利用してそのフォレストへのフルアクセスを取得できます。
4. krbtgtハッシュ値を使用して、ターゲットドメインの権限を取得します
DCでmimikatzを使用して、krbtgtハッシュ値を取得し、サブドメインで通常のユーザー権限を持つゴールデンチケットを作成して挿入し、ターゲットドメインの権限を取得します
5.制約のない委任とMS-RPRNを使用して、信頼フォレストのアクセス許可を取得します
攻撃者がドメインフォレスト内のドメインコントローラーまたは制約のない委任用に構成されたサーバーに対するアクセス許可を既に取得している場合
、MS-RPRNを使用して、信頼するフォレストのドメインコントローラーに、制御対象サーバーに認証を送信させることができます。キャプチャされたチケットを使用した、信頼されたフォレスト内の任意のユーザーのハッシュ値
2つのツール:
- Rubeusは認証リクエストを監視します:https ://github.com/GhostPack/Rubeus
- SpoolSampleは認証リクエストを送信します:https ://github.com/leechristensen/SpoolSample
3.クロスドメイン攻撃を防ぐ
多くの場合、外部WebはWAFで構成され、定期的なセキュリティ検査のための保守担当者が装備されていますが、イントラネットWeb(内部オフィス、テストサーバーなど)はより脆弱であり、多くの場合、脆弱なパスワードと時間内にパッチが適用されていない脆弱性があります。
多くの企業では、異なるドメインが部門ごとに分割されていますが、ドメイン管理者は同じグループの人々である可能性があるため、ドメイン管理者のユーザー名とパスワードは同じである可能性があります。
したがって、DCのローカル管理者パスワードが他のドメインのDCローカル管理者パスワードと同じであるかどうかを確認することが重要です。
エピローグ
この章は比較的短く、主にドメインの信頼関係を使用してクロスドメイン攻撃を実行します