FOOTHOLD Metodoloji Cheat-sheet
3268

Global Catalog (LDAP)

ad

Global Catalog (3268/tcp, TLS icin 3269) forest genelinde aranabilir kismi bir dizin replikasidir. Tek DC'ye sorarak tum forest'taki nesneleri (cross-domain) cekebilirsin - cok-domain'li / trust'li ortamlarda enumerasyon icin kritik. Yazilamaz, sadece okuma.

┌──

Komutlar

ldapsearch ✓ EXAM-SAFE user
ldapsearch -x -H ldap://{{DC_IP}}:3268 -D '{{USER}}@{{DOMAIN}}' -w '{{PASS}}' -b 'DC={{DOMAIN}}' '(objectClass=user)' sAMAccountName
Global Catalog portuna sorgu: forest'taki tum domain'lerin nesnelerini tek DC uzerinden cek. Cok-domain forest'larda 389'un goremedigi cross-domain objeleri buradan gorursun. HackTricks - Global Catalog enumeration
ldapsearch ✓ EXAM-SAFE user
ldapsearch -x -H ldap://{{DC_IP}}:3268 -D '{{USER}}@{{DOMAIN}}' -w '{{PASS}}' -b '' '(&(objectCategory=person)(objectClass=user)(adminCount=1))' sAMAccountName memberOf
Forest genelinde ayricalikli (adminCount=1) hesaplari ara. Bos base DN ('') GC'de tum partition'larda arama yapar. The Hacker Recipes - GC privileged enumeration
netexec ✓ EXAM-SAFE user
nxc ldap {{DC_IP}} -u {{USER}} -p '{{PASS}}' --port 3268 --users
NetExec ile GC portu uzerinden forest-wide kullanici enumerasyonu. NetExec Wiki - Global Catalog
ldapsearch ✓ EXAM-SAFE user
ldapsearch -x -H ldap://{{DC_IP}}:3268 -D '{{USER}}@{{DOMAIN}}' -w '{{PASS}}' -b '' '(objectClass=trustedDomain)' trustPartner trustDirection trustAttributes
Forest icindeki trust iliskilerini (trustedDomain nesneleri) listele. trustDirection/trustAttributes saldiri yonunu (SID history, cross-forest) belirler. ad-trusts teknigine baglanir. The Hacker Recipes - Domain Trusts enumeration
ldapsearch ✓ EXAM-SAFE user
LDAPTLS_REQCERT=never ldapsearch -x -H ldaps://{{DC_IP}}:3269 -D '{{USER}}@{{DOMAIN}}' -w '{{PASS}}' -b '' '(objectClass=user)' sAMAccountName
Global Catalog'un TLS'li hali (3269). LDAP signing zorunlu ortamda forest-wide enumerasyon icin kullan. HackTricks - Global Catalog over SSL

Port 3268 - Global Catalog (Forest Geneli LDAP)

Global Catalog (GC), forest’taki TUM domain’lerin nesnelerinin kismi (en sik aranan attribute’lar) bir replikasidir. Tek bir GC sunucusuna sorarak butun forest’i tarayabilirsin.

1. 389 vs 3268 Farki

Port 389 yalnizca o DC’nin kendi domain partition’ini gosterir. Port 3268 ise forest genelidir: baska domain’lerdeki kullanicilari, gruplari ve trust nesnelerini tek noktadan gorursun. Cok-domain’li forest’larda (parent.corp.local + child.corp.local) cross-domain enumerasyon icin GC sarttir.

2. Enum - Bos Base DN ile Forest Tarama

GC sorgularinda base DN’i bos (”) birakmak, tum partition’larda arama anlamina gelir. Boylece tek sorguyla forest genelinde adminCount=1 hesaplari, SPN’leri ya da trust’lari toplayabilirsin.

3. Attack Relevance - Trust ve Cross-Domain

GC, trustedDomain nesnelerini gostererek forest ici/disi trust’lari ortaya cikarir. trustDirection ve trustAttributes, SID history injection ya da cross-forest Kerberoast gibi saldiri yollarini belirler (ad-trusts). BloodHound toplamasi da GC’den forest-wide veri cekebilir.

Gotchalar

  • GC yazilamaz; yazma islemleri icin asil DC’nin 389/636’sini kullan.
  • GC sadece replike edilen attribute set’ini tutar; tum attribute’lar GC’de olmayabilir, eksik alan icin domain DC’sine git.
  • 3269 = GC over SSL; signing zorunluysa onu kullan.
  • Tek-domain forest’ta 3268 ~ 389 ile ayni sonucu verir; degeri esas cok-domain’de ortaya cikar.
┌──

İlgili teknikler

BloodHound — Saldiri Yolu Analizi (Edge to Exploit Haritalama)Kimlik Doğrulamalı Domain Enumeration (Authenticated Enum)Domain & Forest Trust Abuse — SID History Injection, Child-to-Parent, Cross-Forest, Golden gMSA, Linked Server ChainAD Kullanici Enumerasyonu: kerbrute userenum, lookupsid, NetExec, username-anarchy, OWA/MailSniper
┌──

Kaynaklar

↗ HackTricks - LDAP / Global Catalog↗ The Hacker Recipes - Domain Trusts↗ Microsoft Docs - Global Catalog
0/15 set