Privileged Groups
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Verwende Trickest, um einfach Workflows zu erstellen und zu automatisieren, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden. Erhalte heute Zugang:
Administratoren
Domänen-Administratoren
Enterprise-Administratoren
Diese Gruppe ist befugt, Konten und Gruppen zu erstellen, die keine Administratoren in der Domäne sind. Darüber hinaus ermöglicht sie die lokale Anmeldung am Domänencontroller (DC).
Um die Mitglieder dieser Gruppe zu identifizieren, wird der folgende Befehl ausgeführt:
Das Hinzufügen neuer Benutzer ist erlaubt, ebenso wie die lokale Anmeldung an DC01.
Die Access Control List (ACL) der AdminSDHolder-Gruppe ist entscheidend, da sie die Berechtigungen für alle "geschützten Gruppen" innerhalb von Active Directory festlegt, einschließlich hochprivilegierter Gruppen. Dieser Mechanismus gewährleistet die Sicherheit dieser Gruppen, indem er unbefugte Änderungen verhindert.
Ein Angreifer könnte dies ausnutzen, indem er die ACL der AdminSDHolder-Gruppe ändert und einem Standardbenutzer vollständige Berechtigungen gewährt. Dies würde diesem Benutzer effektiv die volle Kontrolle über alle geschützten Gruppen geben. Wenn die Berechtigungen dieses Benutzers geändert oder entfernt werden, würden sie aufgrund des Designs des Systems innerhalb einer Stunde automatisch wiederhergestellt.
Befehle zur Überprüfung der Mitglieder und zur Änderung der Berechtigungen umfassen:
Ein Skript ist verfügbar, um den Wiederherstellungsprozess zu beschleunigen: Invoke-ADSDPropagation.ps1.
Für weitere Details besuchen Sie ired.team.
Die Mitgliedschaft in dieser Gruppe ermöglicht das Lesen von gelöschten Active Directory-Objekten, was sensible Informationen offenbaren kann:
Der Zugriff auf Dateien auf dem DC ist eingeschränkt, es sei denn, der Benutzer ist Teil der Gruppe Server Operators
, die das Zugriffslevel ändert.
Mit PsService
oder sc
von Sysinternals kann man die Berechtigungen von Diensten einsehen und ändern. Die Gruppe Server Operators
hat beispielsweise die volle Kontrolle über bestimmte Dienste, was die Ausführung beliebiger Befehle und die Privilegieneskalation ermöglicht:
Dieser Befehl zeigt, dass Server Operators
vollen Zugriff haben, was die Manipulation von Diensten für erhöhte Berechtigungen ermöglicht.
Die Mitgliedschaft in der Gruppe Backup Operators
gewährt Zugriff auf das Dateisystem von DC01
aufgrund der SeBackup
- und SeRestore
-Berechtigungen. Diese Berechtigungen ermöglichen das Durchqueren von Ordnern, das Auflisten und das Kopieren von Dateien, selbst ohne ausdrückliche Berechtigungen, unter Verwendung des FILE_FLAG_BACKUP_SEMANTICS
-Flags. Für diesen Prozess ist die Nutzung spezifischer Skripte erforderlich.
Um die Gruppenmitglieder aufzulisten, führen Sie aus:
Um diese Berechtigungen lokal zu nutzen, werden die folgenden Schritte durchgeführt:
Notwendige Bibliotheken importieren:
Aktivieren und überprüfen Sie SeBackupPrivilege
:
Zugriff auf und Kopieren von Dateien aus eingeschränkten Verzeichnissen, zum Beispiel:
Der direkte Zugriff auf das Dateisystem des Domänencontrollers ermöglicht den Diebstahl der NTDS.dit
-Datenbank, die alle NTLM-Hashes für Domänenbenutzer und -computer enthält.
Erstellen Sie eine Schattenkopie des C
-Laufwerks:
Kopiere NTDS.dit
aus der Schattenkopie:
Alternativ können Sie robocopy
zum Kopieren von Dateien verwenden:
Extrahiere SYSTEM
und SAM
zur Hash-Abfrage:
Alle Hashes aus NTDS.dit
abrufen:
Richten Sie das NTFS-Dateisystem für den SMB-Server auf der Angreifermaschine ein und speichern Sie die SMB-Anmeldeinformationen auf der Zielmaschine.
Verwenden Sie wbadmin.exe
für die Systembackup- und NTDS.dit
-Extraktion:
Für eine praktische Demonstration siehe DEMO VIDEO WITH IPPSEC.
Mitglieder der DnsAdmins-Gruppe können ihre Berechtigungen ausnutzen, um eine beliebige DLL mit SYSTEM-Rechten auf einem DNS-Server zu laden, der häufig auf Domänencontrollern gehostet wird. Diese Fähigkeit ermöglicht ein erhebliches Ausnutzungspotenzial.
Um die Mitglieder der DnsAdmins-Gruppe aufzulisten, verwenden Sie:
Mitglieder können den DNS-Server anweisen, eine beliebige DLL (entweder lokal oder von einem Remote-Share) mit Befehlen wie: zu laden
Das Neustarten des DNS-Dienstes (was zusätzliche Berechtigungen erfordern kann) ist notwendig, damit die DLL geladen werden kann:
Für weitere Details zu diesem Angriffsvektor siehe ired.team.
Es ist auch möglich, mimilib.dll für die Ausführung von Befehlen zu verwenden, indem es modifiziert wird, um spezifische Befehle oder Reverse Shells auszuführen. Überprüfen Sie diesen Beitrag für weitere Informationen.
DnsAdmins können DNS-Datensätze manipulieren, um Man-in-the-Middle (MitM)-Angriffe durch das Erstellen eines WPAD-Datensatzes nach Deaktivierung der globalen Abfrageblockliste durchzuführen. Tools wie Responder oder Inveigh können zum Spoofing und Erfassen von Netzwerkverkehr verwendet werden.
### Event-Log-Reader Mitglieder können auf Ereignisprotokolle zugreifen und möglicherweise sensible Informationen wie Klartextpasswörter oder Details zur Befehlsausführung finden:
Diese Gruppe kann DACLs auf dem Domänenobjekt ändern und möglicherweise DCSync-Berechtigungen gewähren. Techniken zur Privilegieneskalation, die diese Gruppe ausnutzen, sind im Exchange-AD-Privesc GitHub-Repo detailliert beschrieben.
Hyper-V-Administratoren haben vollen Zugriff auf Hyper-V, was ausgenutzt werden kann, um die Kontrolle über virtualisierte Domänencontroller zu erlangen. Dazu gehört das Klonen von aktiven DCs und das Extrahieren von NTLM-Hashes aus der NTDS.dit-Datei.
Der Mozilla Wartungsdienst von Firefox kann von Hyper-V-Administratoren ausgenutzt werden, um Befehle als SYSTEM auszuführen. Dies beinhaltet das Erstellen eines Hardlinks zu einer geschützten SYSTEM-Datei und das Ersetzen dieser durch eine bösartige ausführbare Datei:
Hinweis: Die Ausnutzung von Hardlinks wurde in den neuesten Windows-Updates gemindert.
In Umgebungen, in denen Microsoft Exchange bereitgestellt ist, hat eine spezielle Gruppe, die als Organisation Management bekannt ist, erhebliche Fähigkeiten. Diese Gruppe hat das Privileg, auf die Postfächer aller Domänenbenutzer zuzugreifen und hat vollständige Kontrolle über die 'Microsoft Exchange Security Groups' Organisationseinheit (OU). Diese Kontrolle umfasst die Exchange Windows Permissions
Gruppe, die für Privilegieneskalation ausgenutzt werden kann.
Mitglieder der Gruppe Druckeroperatoren sind mit mehreren Privilegien ausgestattet, einschließlich des SeLoadDriverPrivilege
, das es ihnen ermöglicht, lokal auf einen Domänencontroller zuzugreifen, ihn herunterzufahren und Drucker zu verwalten. Um diese Privilegien auszunutzen, insbesondere wenn SeLoadDriverPrivilege
in einem nicht erhöhten Kontext nicht sichtbar ist, ist es notwendig, die Benutzerkontensteuerung (UAC) zu umgehen.
Um die Mitglieder dieser Gruppe aufzulisten, wird der folgende PowerShell-Befehl verwendet:
Für detailliertere Ausbeutungstechniken im Zusammenhang mit SeLoadDriverPrivilege
sollte man spezifische Sicherheitsressourcen konsultieren.
Die Mitglieder dieser Gruppe erhalten Zugriff auf PCs über das Remote Desktop Protocol (RDP). Um diese Mitglieder aufzulisten, stehen PowerShell-Befehle zur Verfügung:
Weitere Einblicke in die Ausnutzung von RDP finden sich in speziellen Pentesting-Ressourcen.
Mitglieder können über Windows Remote Management (WinRM) auf PCs zugreifen. Die Auflistung dieser Mitglieder erfolgt durch:
Für Exploitationstechniken, die mit WinRM zusammenhängen, sollte spezifische Dokumentation konsultiert werden.
Diese Gruppe hat Berechtigungen, um verschiedene Konfigurationen auf Domänencontrollern durchzuführen, einschließlich Backup- und Wiederherstellungsprivilegien, Ändern der Systemzeit und Herunterfahren des Systems. Um die Mitglieder aufzulisten, wird der folgende Befehl bereitgestellt:
Verwenden Sie Trickest, um Workflows, die von den fortschrittlichsten Community-Tools der Welt unterstützt werden, einfach zu erstellen und zu automatisieren. Zugang heute erhalten:
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)