【内网协议分析攻击类型】
两个域之间需要创建信任关系,才可以访问对应域内的资源。
域信任类型
Active Directory的信任方式可以分为以下几种:
Tree-Root Trust
双向具有转移性
Parent-Child Trust
具有转移性,双向行人
Forest Trust
如果两个林创建了信任关系,则林中所有的域都相互信任两个林之间的信任关系无法自动扩展到其他林上
Realm Trust
ADDS域可以和非Windows系统的Kerberos域之间创建信任
External Trust
位于两个林内的域之间可以通过外部信任来创建信任关系
Shortcut Trust
可以缩短验证用户身份的时间
OU
组织单位(Organization Unit,OU)是一个容器对象,将域中的对象组织成逻辑组,帮助管理员管理。OU包含用户、计算机、工作组、打印机、安全策略以及其他组织单位等。
Active Directory
活动目录(Active Directory,AD)是面向Windows Server的目录服务。Active Directory存储了有关网络对象的信息,并且让管理员和用户能够查找和使用这些信息。
ADDS
Active Directory提供目录服务的组件被称作Active Directory域服务(Active Directory Domain Services, ADDS),负责目录数据库的存储、增删改查等工作,可以用在多种局域网、广域网的场景中。 从逻辑上看,ADDS的组件可以分为Partition、Schema、Domain、Domain tree、Forest、OU、Container。 Partition也被称为naming context,是AD DS数据库的一部分。Schema是存储在 ADDS 中数据的定义。Container是为ADDS提供组织框架的对象。 从实现上区分,ADDS可以分为Domain controller、Data store、Global catalog server、RODC (Read-only domain controller) 、Site、Subnet。 每个域控制器都有完整的ADDS数据,每个域控都可以处理数据的修改并同步至其他的域控。 域控会有一份数据拷贝(Data store),默认存储在 C:\Windows\NTDS 目录下。 Global catalog server是存储全局catalog的域控,catlog以只读的方式存储了一个multiple-domain forest的所有对象,用于加速搜索。
名称空间
名称空间(namespace)是一块界定好的区域,在区域内可以用名称找到与之相关的信息。
对象与属性
ADDS内的资源都是以对象(Object)的形式存在的,对象通过属性(Attrbute)来描述其特征。
组策略
简介
组策略 (Group Policy, GP) 用于管理网络环境中的用户和设备,定义了系统管理员管理工作所要的各种模板组件。 组策略有以下功能:
管理注册表
设置脚本
重定向文件夹
管理应用程序
指定安全选项
常用概念
组策略容器 (Group Policy Container,GPC)存储在活动目录中,包含GPO属性、配置信息和版本等。可以通过GPC来查找GPT。 组策略模板 (Group Policy Template, GPT) 存储在域控中,包含所有的组策略信息。包括管理模板,安全,脚本,软件安装等。 其中GPC中的信息量少、容量小,GPT中消息量较大、容量大,因此两个部分分开存放。防止活动目录中因存储了过多的数据而被影响性能。 组策略对象 (Group Policy Object, GPO) 是包含多种Windows组策略设置的集合,存储在GPC和GPT中。
Kerberos的Windows实现
相关定义
SPN
服务主体名称 (ServicePrincipal Names, SPN) ,是服务实例(如HTTP、SMB等)的唯一标识符。 SPN分为两种类型:一种是注册在活动目录的机器帐户下,当一个服务的权限为 Local System 或 Network Service,则SPN注册在机器帐户下。一种是注册在活动目录的域用户帐户下,当一个服务的权限为一个域用户,则SPN注册在域用户帐户下。
攻击类型
黄金票据利用
在认证过程中,经过client与AS的通信会得到TGT,黄金票据(Golden Ticket)就是伪造票据授予票据(TGT),也被称为认证票据。 黄金票据利用需要与DC通信,且需要获取krbtgt的hash,但是可以获取任何Kerbose服务权限。
白银票据利用
白银票据(Silver Tickets)伪造利用的是Kerberos认证中的第三个步骤,在第三步的时候,client会带着ticket向server的某个服务进行请求,如果验证通过就可以访问server上的指定服务了,这里的ticket是基于client info、server session key、end time、server hash。这里client info已知,end time可以构造,server session key是TGS生成的,所以只要server的NTLM hash即可。银票伪造的是TGS,只能访问指定的服务。
DCSync 攻击
DCSync是域渗透中经常会用到的技术。DCSync是mimikatz在2015年添加的一个功能,由Benjamin DELPY gentilkiwi和Vincent LE TOUX共同编写,基于 DRS 来导出域内所有用户的hash。 这种方式需要满足以下任一一种权限:
Administrators组内的用户
Domain Admins组内的用户
Enterprise Admins组内的用户
域控制器的计算机帐户
DCShadow 攻击
DCShadow是由来自法国的安全研究人员Benjamin Delpy和Vincent Le Toux在2018年的微软蓝帽(Blue Hat)大会上提出。 DCShadow攻击指在Active Directory环境下创建一个恶意的域控制器,并用它来推送恶意对象。
哈希传递攻击
哈希传递攻击(Pass-the-Hash,PTH)是通过传递NTLM哈希来认证的攻击方法,常用的工具有mimikatz等。
票据传递攻击
票据传递攻击(Pass-the-Ticket Attacks,PtT)是一种使用Kerberos票据代替明文密码或NTLM哈希的方法。PtT最常见的用途可能是使用黄金票据和白银票据,通过PtT访问主机相当简单。
Kerberoasting Attacks
Kerberoasting攻击由Tim Medin在2014 DerbyCon conference上 公开 。指域内的任何一台主机,都可以通过查询SPN,Kerberoasting即是向域内的所有服务请求TGS,然后进行暴力破解。
Roasting AS-REP
该攻击枚举域中不需要Kerberos预身份认证的帐户,向这些账户请求一条加密信息,并离线尝试获取到的账户哈希。该方式需要账户明确设置了 DONT_REQ_PREAUTH 。
Kerberos Delegation Attacks
在一个域中,A使用Kerberos身份验证访问服务B,B再使用A的身份去访问C,这个过程就可以理解为委派。委派主要分为非约束委派(Unconstrained delegation)和约束委派(Constrained delegation)两种,非约束委派可以访问域内任意其它服务,约束委派对认证做了限制不可以访问其他的服务。 Kerberos Delegation(Kerberos委派)攻击分为非约束委派攻击和约束委派攻击。原理都是基于域内已经配置了委派的账户来获取其它账户的权限。
