Bugun Active Directory'ning eng eski, eng kuchli, lekin hali ham real muhitlarda uchraydigan zaifligi haqida gaplashamiz... 😱

Domain Admin'ni 10 daqiqada, hech qanday parol crack qilmasdan, hech qanday CVE ishlatmasdan olish mumkinligini bilasizmi?
Faqat bitta noto'g'ri belgilangan checkbox kifoya.

Tasavvur qiling. Internal pentest'dasiz. Klassik vektorlar yopiq — Kerberoasting natijasiz, NTLM relay'da SMB signing yoqilgan, ASREP-roasting bo'sh. Bir necha soat urinib ko'rasiz. Keyin enumeration paytida bittagina komanda ishlatasiz:
Get-NetComputer -Unconstrained
Va bitta server chiqadi. Shu lahzadan boshlab — hammasi tugadi.

Unconstrained Delegation o'zi nima? 🤔
Kerberos'da delegation — bir service boshqa user nomidan boshqa service'ga ulanishi uchun ruxsat. Misol: IIS server foydalanuvchi nomidan MSSQL'ga so'rov yuboradi.
Lekin Unconstrained — bu eng erkin shakli. Domain admin shunday sozlagan:

"Bu serverga to'liq ishonaman. U istalgan service nomidan istalgan joyga kira oladi."

Mantiq oddiy ko'rinadi. Lekin asl xavf shu yerda.

Foydalanuvchi shu serverga authenticate bo'lganda — KDC uning TGT'sini ham server'ga birga yuboradi. Server bu TGT'ni LSASS xotirasida saqlaydi. Foydalanuvchi keyin "logout" qilsa ham — TGT cache'da qoladi.
Server compromise bo'lsa — o'sha userning butun identity'si siznikida.

Lekin tabiiy savol tug'iladi — Domain Admin nega oddiy serverga ulansin? 🌚
Kutib o'tirmaymiz. SpoolSample degan tool bor — Microsoft'ning Print Spooler service'idagi MS-RPRN protocol'ini abuse qiladi. Bitta komanda:
SpoolSample.exe dc01 srv01
Bu DC'ga so'rov yuboradi: "Mening serverim'ga ulanib printer holatini tekshirib bersang-chi". DC bu so'rovni bajaradi — SRV01'ga authenticate bo'ladi. Va Unconstrained yoqilgani uchun — o'zining DC01$ TGT'sini birga yuboradi. ⚡️

Print Spooler default holatda yoqilgan. Domain Controllers'da ham yoqilgan. 2024-yilning oxiriga kelib ham — hali yoqilgan muhitlar bor.

Rubeus'ni monitor /interval:5 mode'da ishga tushiramiz. SpoolSample otamiz. Bir necha sekunddan keyin terminalda:
[*] Found new TGT: DC01$@CHILD.JAVASEC.LOCAL
Domain Controller'ning computer account TGT'si qo'limizda.

Bu yerda yangi savol: Computer account'da local admin huquqi yo'q-ku? To'g'ri. Lekin DC computer account'da boshqa narsa bor —

DCSync

huquqi.

Mimikatz'ga ticket'ni import qilamiz:

kerberos::ptt dc01.kirbi
lsadump::dcsync /domain:child.javasec.local /user:Administrator

Natija — Hash NTLM: e7d6a507...
Domain compromised. krbtgt qo'limizda. Forest tugadi. 🏳️

Eng katta xato — "biz Kerberos ishlatyapmiz, hammasi xavfsiz" deb o'ylash.
Chunki Kerberos'ning o'zi xavfsiz emas — uning sozlamasi xavfsiz qiladi. Bitta Trust this computer for delegation to any service checkbox'i — va butun forest tugaydi.

Telegram 📱 Linkedin 📱