Privileged Groups
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Διαχειριστές
Διαχειριστές Τομέα
Διαχειριστές Επιχείρησης
Αυτή η ομάδα έχει τη δυνατότητα να δημιουργεί λογαριασμούς και ομάδες που δεν είναι διαχειριστές στον τομέα. Επιπλέον, επιτρέπει το τοπικό login στον Domain Controller (DC).
Για να προσδιοριστούν τα μέλη αυτής της ομάδας, εκτελείται η ακόλουθη εντολή:
Η προσθήκη νέων χρηστών επιτρέπεται, καθώς και η τοπική σύνδεση στο DC01.
Η Λίστα Ελέγχου Πρόσβασης (ACL) της ομάδας AdminSDHolder είναι κρίσιμη καθώς καθορίζει τα δικαιώματα για όλες τις "προστατευμένες ομάδες" εντός του Active Directory, συμπεριλαμβανομένων των ομάδων υψηλών προνομίων. Αυτός ο μηχανισμός διασφαλίζει την ασφάλεια αυτών των ομάδων αποτρέποντας μη εξουσιοδοτημένες τροποποιήσεις.
Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί αυτό τροποποιώντας την ACL της ομάδας AdminSDHolder, παρέχοντας πλήρη δικαιώματα σε έναν τυπικό χρήστη. Αυτό θα έδινε ουσιαστικά σε αυτόν τον χρήστη πλήρη έλεγχο σε όλες τις προστατευμένες ομάδες. Εάν τα δικαιώματα αυτού του χρήστη τροποποιηθούν ή αφαιρεθούν, θα αποκατασταθούν αυτόματα εντός μιας ώρας λόγω του σχεδιασμού του συστήματος.
Οι εντολές για την ανασκόπηση των μελών και την τροποποίηση των δικαιωμάτων περιλαμβάνουν:
Ένα σενάριο είναι διαθέσιμο για να επιταχύνει τη διαδικασία αποκατάστασης: Invoke-ADSDPropagation.ps1.
Για περισσότερες λεπτομέρειες, επισκεφθείτε το ired.team.
Η συμμετοχή σε αυτή την ομάδα επιτρέπει την ανάγνωση διαγραμμένων αντικειμένων Active Directory, τα οποία μπορούν να αποκαλύψουν ευαίσθητες πληροφορίες:
Η πρόσβαση σε αρχεία στον DC είναι περιορισμένη εκτός αν ο χρήστης είναι μέλος της ομάδας Server Operators
, η οποία αλλάζει το επίπεδο πρόσβασης.
Χρησιμοποιώντας το PsService
ή το sc
από τα Sysinternals, μπορεί κανείς να επιθεωρήσει και να τροποποιήσει τις άδειες υπηρεσιών. Η ομάδα Server Operators
, για παράδειγμα, έχει πλήρη έλεγχο σε ορισμένες υπηρεσίες, επιτρέποντας την εκτέλεση αυθαίρετων εντολών και κλιμάκωση δικαιωμάτων:
Αυτή η εντολή αποκαλύπτει ότι οι Server Operators
έχουν πλήρη πρόσβαση, επιτρέποντας τη χειραγώγηση υπηρεσιών για ανυψωμένα δικαιώματα.
Η συμμετοχή στην ομάδα Backup Operators
παρέχει πρόσβαση στο σύστημα αρχείων DC01
λόγω των δικαιωμάτων SeBackup
και SeRestore
. Αυτά τα δικαιώματα επιτρέπουν την περιήγηση σε φακέλους, την καταγραφή και την αντιγραφή αρχείων, ακόμη και χωρίς ρητές άδειες, χρησιμοποιώντας τη σημαία FILE_FLAG_BACKUP_SEMANTICS
. Η χρήση συγκεκριμένων σεναρίων είναι απαραίτητη για αυτή τη διαδικασία.
Για να καταγράψετε τα μέλη της ομάδας, εκτελέστε:
Για να εκμεταλλευτείτε αυτά τα προνόμια τοπικά, χρησιμοποιούνται τα εξής βήματα:
Εισαγωγή απαραίτητων βιβλιοθηκών:
Ενεργοποιήστε και επαληθεύστε το SeBackupPrivilege
:
Πρόσβαση και αντιγραφή αρχείων από περιορισμένους καταλόγους, για παράδειγμα:
Η άμεση πρόσβαση στο σύστημα αρχείων του Domain Controller επιτρέπει την κλοπή της βάσης δεδομένων NTDS.dit
, η οποία περιέχει όλους τους NTLM hashes για τους χρήστες και τους υπολογιστές του τομέα.
Δημιουργήστε μια σκιαγραφία του δίσκου C
:
Αντιγράψτε το NTDS.dit
από την αντίγραφο σκιάς:
Εναλλακτικά, χρησιμοποιήστε robocopy
για την αντιγραφή αρχείων:
Εξαγωγή SYSTEM
και SAM
για την ανάκτηση κατακερματισμού:
Ανάκτηση όλων των κατακερματισμών από το NTDS.dit
:
Ρυθμίστε το σύστημα αρχείων NTFS για τον διακομιστή SMB στη μηχανή του επιτιθέμενου και αποθηκεύστε τα διαπιστευτήρια SMB στη στοχοθετημένη μηχανή.
Χρησιμοποιήστε wbadmin.exe
για την εφεδρική αντιγραφή του συστήματος και την εξαγωγή του NTDS.dit
:
For a practical demonstration, see DEMO VIDEO WITH IPPSEC.
Τα μέλη της ομάδας DnsAdmins μπορούν να εκμεταλλευτούν τα προνόμιά τους για να φορτώσουν μια αυθαίρετη DLL με προνόμια SYSTEM σε έναν διακομιστή DNS, που συχνά φιλοξενείται σε Domain Controllers. Αυτή η δυνατότητα επιτρέπει σημαντική δυνατότητα εκμετάλλευσης.
Για να καταγράψετε τα μέλη της ομάδας DnsAdmins, χρησιμοποιήστε:
Τα μέλη μπορούν να κάνουν τον διακομιστή DNS να φορτώσει μια αυθαίρετη DLL (είτε τοπικά είτε από μια απομακρυσμένη κοινή χρήση) χρησιμοποιώντας εντολές όπως:
Είναι απαραίτητο να επανεκκινήσετε την υπηρεσία DNS (η οποία μπορεί να απαιτεί επιπλέον δικαιώματα) ώστε να φορτωθεί το DLL:
Για περισσότερες λεπτομέρειες σχετικά με αυτό το επιθετικό διανύσμα, ανατρέξτε στο ired.team.
Είναι επίσης εφικτό να χρησιμοποιηθεί το mimilib.dll για εκτέλεση εντολών, τροποποιώντας το για να εκτελεί συγκεκριμένες εντολές ή αντίστροφες θήκες. Δείτε αυτή την ανάρτηση για περισσότερες πληροφορίες.
Οι DnsAdmins μπορούν να χειριστούν τα DNS records για να εκτελέσουν επιθέσεις Man-in-the-Middle (MitM) δημιουργώντας ένα WPAD record μετά την απενεργοποίηση της παγκόσμιας λίστας αποκλεισμού ερωτημάτων. Εργαλεία όπως το Responder ή το Inveigh μπορούν να χρησιμοποιηθούν για spoofing και καταγραφή δικτυακής κίνησης.
Τα μέλη μπορούν να έχουν πρόσβαση στα αρχεία καταγραφής γεγονότων, ενδεχομένως βρίσκοντας ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης σε απλό κείμενο ή λεπτομέρειες εκτέλεσης εντολών:
Αυτή η ομάδα μπορεί να τροποποιήσει τα DACLs στο αντικείμενο τομέα, πιθανώς παρέχοντας δικαιώματα DCSync. Οι τεχνικές για την κλιμάκωση δικαιωμάτων που εκμεταλλεύονται αυτή την ομάδα περιγράφονται στο αποθετήριο Exchange-AD-Privesc στο GitHub.
Οι Διαχειριστές Hyper-V έχουν πλήρη πρόσβαση στο Hyper-V, η οποία μπορεί να εκμεταλλευτεί για να αποκτήσουν έλεγχο πάνω σε εικονικοποιημένους Ελεγκτές Τομέα. Αυτό περιλαμβάνει την κλωνοποίηση ζωντανών Ελεγκτών Τομέα και την εξαγωγή NTLM hashes από το αρχείο NTDS.dit.
Η Υπηρεσία Συντήρησης Mozilla του Firefox μπορεί να εκμεταλλευτεί από τους Διαχειριστές Hyper-V για να εκτελέσουν εντολές ως SYSTEM. Αυτό περιλαμβάνει τη δημιουργία σκληρού συνδέσμου σε ένα προστατευμένο αρχείο SYSTEM και την αντικατάστασή του με ένα κακόβουλο εκτελέσιμο:
Note: Η εκμετάλλευση σκληρών συνδέσμων έχει μετριαστεί σε πρόσφατες ενημερώσεις των Windows.
Σε περιβάλλοντα όπου έχει αναπτυχθεί το Microsoft Exchange, μια ειδική ομάδα γνωστή ως Οργάνωση Διαχείρισης κατέχει σημαντικές δυνατότητες. Αυτή η ομάδα έχει προνόμια να έχει πρόσβαση στα γραμματοκιβώτια όλων των χρηστών του τομέα και διατηρεί πλήρη έλεγχο πάνω στην Οργανωτική Μονάδα 'Microsoft Exchange Security Groups'. Αυτός ο έλεγχος περιλαμβάνει την ομάδα Exchange Windows Permissions
, η οποία μπορεί να εκμεταλλευτεί για κλιμάκωση προνομίων.
Τα μέλη της ομάδας Εκτυπωτών είναι προικισμένα με αρκετά προνόμια, συμπεριλαμβανομένου του SeLoadDriverPrivilege
, το οποίο τους επιτρέπει να συνδέονται τοπικά σε έναν Domain Controller, να τον απενεργοποιούν και να διαχειρίζονται εκτυπωτές. Για να εκμεταλλευτούν αυτά τα προνόμια, ειδικά αν το SeLoadDriverPrivilege
δεν είναι ορατό σε μη ανυψωμένο περιβάλλον, είναι απαραίτητο να παρακαμφθεί ο Έλεγχος Λογαριασμού Χρήστη (UAC).
Για να καταγραφούν τα μέλη αυτής της ομάδας, χρησιμοποιείται η παρακάτω εντολή PowerShell:
Για πιο λεπτομερείς τεχνικές εκμετάλλευσης που σχετίζονται με SeLoadDriverPrivilege
, θα πρέπει να συμβουλευτείτε συγκεκριμένους πόρους ασφαλείας.
Τα μέλη αυτής της ομάδας έχουν πρόσβαση σε υπολογιστές μέσω του Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (RDP). Για να καταμετρηθούν αυτά τα μέλη, είναι διαθέσιμες εντολές PowerShell:
Περισσότερες πληροφορίες σχετικά με την εκμετάλλευση του RDP μπορούν να βρεθούν σε ειδικούς πόρους pentesting.
Τα μέλη μπορούν να έχουν πρόσβαση σε υπολογιστές μέσω Windows Remote Management (WinRM). Η καταμέτρηση αυτών των μελών επιτυγχάνεται μέσω:
Για τεχνικές εκμετάλλευσης που σχετίζονται με WinRM, θα πρέπει να συμβουλευτείτε συγκεκριμένη τεκμηρίωση.
Αυτή η ομάδα έχει δικαιώματα να εκτελεί διάφορες ρυθμίσεις στους Ελεγκτές Τομέα, συμπεριλαμβανομένων των δικαιωμάτων δημιουργίας αντιγράφων ασφαλείας και αποκατάστασης, αλλαγής της συστημικής ώρας και απενεργοποίησης του συστήματος. Για να καταμετρήσετε τα μέλη, η εντολή που παρέχεται είναι:
Χρησιμοποιήστε Trickest για να δημιουργήσετε και να αυτοματοποιήσετε ροές εργασίας με τη βοήθεια των πιο προηγμένων εργαλείων της κοινότητας. Αποκτήστε πρόσβαση σήμερα:
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)