maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/acl-persistence-abuse/BadSuccessor.md

69 lines
7.3 KiB
Markdown
Raw Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Зловживання ACL/ACE Active Directory
{{#include ../../../banners/hacktricks-training.md}}
## Огляд
Делеговані керовані облікові записи служб (**dMSAs**) є новим типом принципу AD, введеним з **Windows Server 2025**. Вони призначені для заміни застарілих облікових записів служб, дозволяючи одноклікову "міграцію", яка автоматично копіює імена службових принципів (SPN), членство в групах, налаштування делегування та навіть криптографічні ключі старого облікового запису в новий dMSA, забезпечуючи безперервний перехід для додатків і усуваючи ризик Kerberoasting.
Дослідники Akamai виявили, що один атрибут — **`msDSManagedAccountPrecededByLink`** — вказує KDC, який застарілий обліковий запис "наступає" на dMSA. Якщо зловмисник може записати цей атрибут (і переключити **`msDSDelegatedMSAState`2**), KDC з радістю створить PAC, який **успадковує кожен SID обраної жертви**, ефективно дозволяючи dMSA видавати себе за будь-якого користувача, включаючи адміністраторів домену.
## Що таке dMSA?
* Побудований на основі технології **gMSA**, але зберігається як новий клас AD **`msDSDelegatedManagedServiceAccount`**.
* Підтримує **міграцію за запитом**: виклик `StartADServiceAccountMigration` зв'язує dMSA зі застарілим обліковим записом, надає застарілому обліковому запису права на запис до `msDSGroupMSAMembership` і переключає `msDSDelegatedMSAState`=1.
* Після `CompleteADServiceAccountMigration` застарілий обліковий запис відключається, і dMSA стає повністю функціональним; будь-який хост, який раніше використовував застарілий обліковий запис, автоматично отримує право на отримання пароля dMSA.
* Під час аутентифікації KDC вбудовує підказку **KERBSUPERSEDEDBYUSER**, щоб клієнти Windows 11/24H2 прозоро повторно намагалися з dMSA.
## Вимоги для атаки
1. **Принаймні один Windows Server 2025 DC**, щоб клас LDAP dMSA та логіка KDC існували.
2. **Будь-які права на створення об'єктів або запис атрибутів на OU** (будь-який OU) наприклад, `Create msDSDelegatedManagedServiceAccount` або просто **Create All Child Objects**. Akamai виявив, що 91% реальних орендарів надають такі "безпечні" дозволи OU не адміністраторам.
3. Можливість запускати інструменти (PowerShell/Rubeus) з будь-якого хоста, приєднаного до домену, для запиту квитків Kerberos.
*Не потрібно контролювати жертву; атака ніколи безпосередньо не торкається цільового облікового запису.*
## Покроково: BadSuccessor*ескалація привілеїв
1. **Знайдіть або створіть dMSA, яким ви керуєте**
```bash
NewADServiceAccount Attacker_dMSA `
DNSHostName ad.lab `
Path "OU=temp,DC=lab,DC=local"
```
Оскільки ви створили об'єкт всередині OU, до якого можете записувати, ви автоматично володієте всіма його атрибутами.
2. **Симулюйте "завершену міграцію" у двох записах LDAP**:
- Встановіть `msDSManagedAccountPrecededByLink = DN` будь-якої жертви (наприклад, `CN=Administrator,CN=Users,DC=lab,DC=local`).
- Встановіть `msDSDelegatedMSAState = 2` (міграція завершена).
Такі інструменти, як **SetADComputer, ldapmodify** або навіть **ADSI Edit**, працюють; права адміністратора домену не потрібні.
3. **Запросіть TGT для dMSA** — Rubeus підтримує прапорець `/dmsa`:
```bash
Rubeus.exe asktgs /targetuser:attacker_dmsa$ /service:krbtgt/aka.test /dmsa /opsec /nowrap /ptt /ticket:<Machine TGT>
```
Повернений PAC тепер містить SID 500 (Адміністратор) плюс групи адміністраторів домену/підприємства.
## Зібрати всі паролі користувачів
Під час легітимних міграцій KDC повинен дозволити новому dMSA розшифровувати **квитки, видані старому обліковому запису до переходу**. Щоб уникнути порушення активних сесій, він поміщає як поточні, так і попередні ключі в новий ASN.1 об'єкт, званий **`KERBDMSAKEYPACKAGE`**.
Оскільки наша фальшива міграція стверджує, що dMSA "наступає" на жертву, KDC добросовісно копіює RC4-HMAC ключ жертви в список **попередніх ключів** навіть якщо dMSA ніколи не мав "попереднього" пароля. Цей ключ RC4 не має солі, тому фактично є NT хешем жертви, надаючи зловмиснику **можливість офлайн-ламання або "pass-the-hash"**.
Отже, масове зв'язування тисяч користувачів дозволяє зловмиснику скинути хеші "в масштабах", перетворюючи **BadSuccessor на як ескалацію привілеїв, так і на примітив компрометації облікових даних**.
## Інструменти
- [https://github.com/akamai/BadSuccessor](https://github.com/akamai/BadSuccessor)
- [https://github.com/logangoins/SharpSuccessor](https://github.com/logangoins/SharpSuccessor)
- [https://github.com/LuemmelSec/Pentest-Tools-Collection/blob/main/tools/ActiveDirectory/BadSuccessor.ps1](https://github.com/LuemmelSec/Pentest-Tools-Collection/blob/main/tools/ActiveDirectory/BadSuccessor.ps1)
## Посилання
- [https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory](https://www.akamai.com/blog/security-research/abusing-dmsa-for-privilege-escalation-in-active-directory)
{{#include ../../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink