Skip to content

Active Directory notes

Execution Policys können umgangen werden selbst wenn sie enforced sind. Auch kann der Constrained Language Mode Mode umgangen werden, welcher die Powershellbefehle einschränkt. bypass-clm

Privilege Escalation

Wenn Applikation nicht unter Program Files liegt sondern unter einer anderen Festplatte z.B. D oder C:\ kann eine DLL eingeschleust werden.

Koppelling klont funktionen der dll gut für dlls die lange laufen sollen

scheduled task

NetMan DLL Hijacking

DavRelayUP

Funktioniert wenn LDAP Signing und LDAPS Channel Binding ist nicht aktiviert. (Kann in PingCastle gesehen werden, wenn LDAP Härtung nicht da ist). Relay Angriff Resource based constrained delegation. Anderen Systemen Rechte auf dem eigenen geben.

kerbrelayup alternative, für systeme vor 2022. macht einen Account zu System

PrintNightmare

Kann auf Clients noch vorhanden sein, damit Nutzer auf Drucker zugreifen können, die nicht vom Admin eingerichtet wurden. Beispielsweise Drucker die im Homeoffice sind. Gepatcht seit 2021.

Software Kiosk

Der Software Kiosk Installiert Anwendungen als Administrator. Dazu kann ein normaler User diese Installation starten. Eine Privilege Escalation hierrin kann ausgenutzt werden. Auch wenn die Software kurzfristig eine Shell öffnet, kann dort ein rechtsklick reingemacht werden um die Shell Anzuhalten. Dann hat man eine System shell.

SEImpersonate Potatoes

Erlaubt einem Service sich als User auszugeben. Um dies auszunutzen kann die Potato Familie ausgenutzt werden.

Prozess mit eingeschränkten Privilegien

Potatoes schwierig Full Powers Tool legt einen scheduled task an, welcher nun wieder alle Privilegien hat, die aufgegeben wurde.

User Account Control (UAC)

builtin admin rid 500 psexec

LAPS wird genutzt um default Passwörter zu ändern/verwalten. Ist LAPS nicht an sollte der Hash des lokalen Admins auf allen Systemen getestet werden.

Wenn ein Zertifikat angefragt wird, wird auch der NT hash zurückgegeben. Ohne LSASS zu dumpen

Vorsicht beim Password Spraying user werden irgendwann gesperrt

Mit dem nxc flag --local-auth werden lokalen user accounts angefragt, ohne die Domain user

Die NTLM Hashes müssen nur für rdp geknackt werden Es können mehrere Policys für unterschiedliche User aktiviert sein.

Pass the overpass

RC4 NT HASH Kerberos mit rc4 verschlüsselung wird angefordert. Verschlüsselung mit nt hash

PASS the key

eigene separate kerberos keys. sekurlsa::ekeys Auch mit AES Key möglich. Empfehlung AES Keys, da andere alert auslösen können. Kerberos Keys sind passwort mit salt(domain, user)

Pass the ticket

Ticket Granting Ticket universelle Tickets. Kann für alle Services benutzt werden

Service Ticket nur für einen Service gültig(SPN Service Principal name) Erster Teil des SPN nicht geschützt. ldap/dc01 kann manipuliert werden

Pass the certificate

Lateral Movement

Exploiting ACLs

NTLM

Ein Client Authentifiziert sich bei einem Server über Challenge Response. Ist der User ein Domän user, muss der Server den Domäncontroller fragen. LmCompatibilityLever, bestimmt welche NTLM Versionen erlaubt sind. Bei Level 3-4 dürfen sich Computer per NTLMv1 anmelden. Aber das System selbst nutzt NTLMv2 zur Authentifizierung bei anderen. DNS Spoofing nicht bei defender for endpoint. Wird erkannt und es gibt Probleme. Poisoning kann auch zu Problemen beim Netwerk führen.

Wenn eine Mail von einer internen Domain kommt kann es gut sein, dass diese als trusted angesehen werden. Dann wird eine NTLM Authentication durchgeführt.

NTLM Relay funktioniert nicht mit smb Signing

Time Roasting

Es kann vorkommen, dass die Passwort Policy für Computer Accounts deaktiviert wird und diese nicht rotiert werden. Dann kann dies auch gecrackt werden. Häufig auf Linux Computern. Auch ist dies bei Linux Maschinen. Time Roasting more stealthy. Sonst keine Vorteile im Gegensatz zu Kerberroasting.

Active Directory Certificate Services

Certipy kann nach fehlkonfigurationen suchen. Aber es sollte auch manuell mit dem find kommando von certipy geprüft werden.

MCM

NAA account sollte nur zugriff auf distribution center haben. Möglicherweise kann mit dem Account eine Resource Based Delegation ausgeführt werden.

WSUS kann benutzt werden um Microsoft signierte Daten an einen Computer zu geben. Auch signierte binarys wie die sysinternals.