Privileged Groups
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Opleiding AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Opleiding GCP Red Team Expert (GRTE)
Gebruik Trickest om maklik te bou en werkvloei te automate wat deur die wêreld se mees gevorderde gemeenskap gereedskap aangedryf word. Kry Toegang Vandag:
Administrateurs
Domein Administrateurs
Enterprise Administrateurs
Hierdie groep is bemagtig om rekeninge en groepe te skep wat nie administrateurs op die domein is nie. Boonop stel dit plaaslike aanmelding op die Domein Beheerder (DC) in staat.
Om die lede van hierdie groep te identifiseer, word die volgende opdrag uitgevoer:
Adding new users is permitted, as well as local login to DC01.
Die AdminSDHolder groep se Toegangsbeheerlisensie (ACL) is van kardinale belang aangesien dit toestemmings vir alle "beskermde groepe" binne Active Directory stel, insluitend hoë-privilege groepe. Hierdie meganisme verseker die sekuriteit van hierdie groepe deur ongeoorloofde wysigings te voorkom.
'n Aanvaller kan hiervan gebruik maak deur die AdminSDHolder groep se ACL te wysig, wat volle toestemmings aan 'n standaard gebruiker gee. Dit sou daardie gebruiker effektief volle beheer oor alle beskermde groepe gee. As hierdie gebruiker se toestemmings gewysig of verwyder word, sal dit binne 'n uur outomaties hersteld word weens die stelsel se ontwerp.
Opdragte om die lede te hersien en toestemmings te wysig sluit in:
'n Skrip is beskikbaar om die herstelproses te versnel: Invoke-ADSDPropagation.ps1.
Vir meer besonderhede, besoek ired.team.
Lidmaatskap in hierdie groep maak dit moontlik om verwyderde Active Directory-objekte te lees, wat sensitiewe inligting kan onthul:
Toegang tot lêers op die DC is beperk tensy die gebruiker deel is van die Server Operators
groep, wat die vlak van toegang verander.
Deur PsService
of sc
van Sysinternals te gebruik, kan 'n mens diensregte inspekteer en wysig. Die Server Operators
groep het byvoorbeeld volle beheer oor sekere dienste, wat die uitvoering van arbitrêre opdragte en privilege escalasie moontlik maak:
Hierdie opdrag onthul dat Server Operators
volle toegang het, wat die manipulasie van dienste vir verhoogde privilige moontlik maak.
Lidmaatskap in die Backup Operators
groep bied toegang tot die DC01
lêerstelsel as gevolg van die SeBackup
en SeRestore
privilige. Hierdie privilige stel vouer traversering, lysing, en lêer kopieer vermoëns in staat, selfs sonder eksplisiete toestemmings, met die gebruik van die FILE_FLAG_BACKUP_SEMANTICS
vlag. Dit is nodig om spesifieke skripte vir hierdie proses te gebruik.
Om groepslede te lys, voer uit:
Om hierdie voorregte plaaslik te benut, word die volgende stappe gebruik:
Importeer nodige biblioteke:
Aktiveer en verifieer SeBackupPrivilege
:
Toegang tot en kopieer lêers vanaf beperkte gidse, byvoorbeeld:
Direkte toegang tot die Domeinbeheerder se lêerstelsel maak die diefstal van die NTDS.dit
databasis moontlik, wat alle NTLM hashes vir domein gebruikers en rekenaars bevat.
Skep 'n skaduwee-kopie van die C
skyf:
Kopieer NTDS.dit
van die skadu kopie:
Alternatiewelik, gebruik robocopy
vir lêer kopieer:
Trek SYSTEM
en SAM
uit vir hash-herwinning:
Verkry alle hashes van NTDS.dit
:
Stel NTFS-lêerstelsel op vir SMB-bediener op die aanvaller masjien en kas SMB-akkrediteer op die teiken masjien.
Gebruik wbadmin.exe
vir stelselsrugsteun en NTDS.dit
ekstraksie:
Vir 'n praktiese demonstrasie, sien DEMO VIDEO MET IPPSEC.
Lede van die DnsAdmins groep kan hul voorregte benut om 'n arbitrêre DLL met SYSTEM voorregte op 'n DNS-bediener te laai, wat dikwels op Domein Beheerders gehos is. Hierdie vermoë bied 'n beduidende uitbuitingspotensiaal.
Om lede van die DnsAdmins-groep te lys, gebruik:
Lede kan die DNS-bediener dwing om 'n arbitrêre DLL (of plaaslik of vanaf 'n afstanddeel) te laai met behulp van opdragte soos:
Herstart die DNS-diens (wat dalk addisionele toestemmings vereis) is nodig vir die DLL om gelaai te word:
For more details on this attack vector, refer to ired.team.
Dit is ook haalbaar om mimilib.dll te gebruik vir opdraguitvoering, dit aan te pas om spesifieke opdragte of omgekeerde shells uit te voer. Check this post vir meer inligting.
DnsAdmins kan DNS-rekords manipuleer om Man-in-the-Middle (MitM) aanvalle uit te voer deur 'n WPAD-rekord te skep nadat die globale navraag blokkelys gedeaktiveer is. Gereedskap soos Responder of Inveigh kan gebruik word vir spoofing en die vang van netwerkverkeer.
Lede kan toegang tot gebeurtenislogboekke hê, wat moontlik sensitiewe inligting soos platte wagwoorde of opdraguitvoeringsbesonderhede kan bevat:
Hierdie groep kan DACLs op die domein objek wysig, wat moontlik DCSync bevoegdhede toeken. Tegnieke vir bevoegdheidstoename wat hierdie groep benut, is in die Exchange-AD-Privesc GitHub repo uiteengesit.
Hyper-V Administrators het volle toegang tot Hyper-V, wat benut kan word om beheer oor virtualiseerde Domein Beheerders te verkry. Dit sluit die kloon van lewende DB's en die onttrekking van NTLM hashes uit die NTDS.dit-lêer in.
Firefox se Mozilla Maintenance Service kan deur Hyper-V Administrators benut word om opdragte as SYSTEM uit te voer. Dit behels die skep van 'n harde skakel na 'n beskermde SYSTEM-lêer en dit vervang met 'n kwaadwillige uitvoerbare lêer:
Note: Hard link exploitation has been mitigated in recent Windows updates.
In omgewings waar Microsoft Exchange ontplooi is, hou 'n spesiale groep bekend as Organisasie Bestuur beduidende vermoëns. Hierdie groep het die voorreg om toegang te hê tot die posbusse van alle domein gebruikers en handhaaf volledige beheer oor die 'Microsoft Exchange Veiligheidsgroepe' Organisatoriese Eenheid (OU). Hierdie beheer sluit die Exchange Windows Permissions
groep in, wat uitgebuit kan word vir voorreg eskalasie.
Lede van die Druk Operateurs groep is toegerus met verskeie voorregte, insluitend die SeLoadDriverPrivilege
, wat hulle toelaat om lokaal aan te meld by 'n Domein Beheerder, dit af te sluit, en drukkers te bestuur. Om hierdie voorregte uit te buit, veral as SeLoadDriverPrivilege
nie sigbaar is onder 'n nie-verhoogde konteks nie, is dit nodig om die Gebruikersrekeningbeheer (UAC) te omseil.
Om die lede van hierdie groep te lys, word die volgende PowerShell-opdrag gebruik:
Vir meer gedetailleerde eksploitasiemetodes rakende SeLoadDriverPrivilege
, moet 'n mens spesifieke sekuriteitsbronne raadpleeg.
Die lede van hierdie groep word toegang tot rekenaars via Remote Desktop Protocol (RDP) toegestaan. Om hierdie lede te tel, is PowerShell-opdragte beskikbaar:
Verder insigte in die ontginning van RDP kan gevind word in toegewyde pentesting hulpbronne.
Lede kan toegang verkry tot rekenaars oor Windows Remote Management (WinRM). Opname van hierdie lede word bereik deur:
Vir eksploitasiemetodes wat verband hou met WinRM, moet spesifieke dokumentasie geraadpleeg word.
Hierdie groep het toestemming om verskeie konfigurasies op Domeinbeheerders uit te voer, insluitend rugsteun- en herstelregte, die verandering van stelseltijd, en die afsluiting van die stelsel. Om die lede te tel, is die opdrag wat verskaf word:
Gebruik Trickest om maklik te bou en werkvloei te outomatiseer wat aangedryf word deur die wêreld se mees gevorderde gemeenskapstoestelle. Kry Toegang Vandag:
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)