Ticket을 받아오는 과정에서 위 사진처럼 KRB_AP_ERR_SKEW 오류가 뜨는 경우 시간대를 DC와 맞춰준다면 해결된다. kerberos 인증 과정에서 현재 timestamp를 사용하는데, 이 때 로컬 시간과 DC의 시간이 다르면 발생하는 문제인 것 같다. $ timedatectl set-ntp off # 시간 동기화 비활성화$ rdate -n [dc ip] # dc ip에서 시간 정보를 가져와 동기화
Red Teaming/Active Directory
CheatSheet> Import-Module ActiveDirectory# 권한을 부여할 사용자의 SID를 get / ACE를 구성할 때 사용> $usid = (Get-ADUser -Identity [username]).SID # target principal의 DN / ACL object를 가져오고 변경 사항을 적용할 때 사용> $object_dn = "CN=[target],OU=[object unit],DC=[domain],DC=[tld]" # target principal의 ACL Object를 get> $acl_object = Get-ACL -Path "AD:$object_dn"# 적용할 ACE 생성> $ace = New-Object System.DirectoryServices.ActiveDi..
사실 DCSync는 BloodHound에서 표시해주는 용어로 DACL은 아니지만, 편의상 DACL 카테고리로 분류했다. DCSync?AD 환경에는 Domain Controller 간의 데이터 동기화를 위한 과정인 Replication이 존재한다.Replication에 사용되는 특별한 권한들이 있는데, 이를 이용하면 NTDS.dit 데이터를 추출할 수 있다.이 특별한 권한들을 통틀어서 BloodHound에서 DCSync라는 Edge로 표시해준다.⇒ Domain에 대한 DCSync Edge가 있다면 NTDS.dit을 추출할 수 있다. Replication?여러 Domain Controller로 구성된 AD 환경의 경우, 각 DC 간의 데이터 동기화를 위해 Replication을 수행해야한다.이 때 사용되는 ..
