Privileged Groups
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Usa Trickest para construir y automatizar flujos de trabajo fácilmente, impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Administradores
Administradores de Dominio
Administradores de Empresa
Este grupo tiene la capacidad de crear cuentas y grupos que no son administradores en el dominio. Además, permite el inicio de sesión local en el Controlador de Dominio (DC).
Para identificar a los miembros de este grupo, se ejecuta el siguiente comando:
Agregar nuevos usuarios está permitido, así como el inicio de sesión local en DC01.
La lista de control de acceso (ACL) del grupo AdminSDHolder es crucial, ya que establece permisos para todos los "grupos protegidos" dentro de Active Directory, incluidos los grupos de alto privilegio. Este mecanismo garantiza la seguridad de estos grupos al prevenir modificaciones no autorizadas.
Un atacante podría explotar esto modificando la ACL del grupo AdminSDHolder, otorgando permisos completos a un usuario estándar. Esto le daría efectivamente a ese usuario control total sobre todos los grupos protegidos. Si los permisos de este usuario se alteran o eliminan, se restablecerían automáticamente dentro de una hora debido al diseño del sistema.
Los comandos para revisar los miembros y modificar permisos incluyen:
Un script está disponible para acelerar el proceso de restauración: Invoke-ADSDPropagation.ps1.
Para más detalles, visita ired.team.
La membresía en este grupo permite la lectura de objetos de Active Directory eliminados, lo que puede revelar información sensible:
El acceso a los archivos en el DC está restringido a menos que el usuario sea parte del grupo Server Operators
, lo que cambia el nivel de acceso.
Usando PsService
o sc
de Sysinternals, se puede inspeccionar y modificar los permisos de los servicios. El grupo Server Operators
, por ejemplo, tiene control total sobre ciertos servicios, lo que permite la ejecución de comandos arbitrarios y la escalación de privilegios:
Este comando revela que Server Operators
tienen acceso completo, lo que permite la manipulación de servicios para obtener privilegios elevados.
La membresía en el grupo Backup Operators
proporciona acceso al sistema de archivos DC01
debido a los privilegios SeBackup
y SeRestore
. Estos privilegios permiten la navegación por carpetas, la enumeración y la capacidad de copiar archivos, incluso sin permisos explícitos, utilizando la bandera FILE_FLAG_BACKUP_SEMANTICS
. Es necesario utilizar scripts específicos para este proceso.
Para listar los miembros del grupo, ejecute:
Para aprovechar estos privilegios localmente, se emplean los siguientes pasos:
Importar las bibliotecas necesarias:
Habilitar y verificar SeBackupPrivilege
:
Acceder y copiar archivos de directorios restringidos, por ejemplo:
El acceso directo al sistema de archivos del Controlador de Dominio permite el robo de la base de datos NTDS.dit
, que contiene todos los hashes NTLM para usuarios y computadoras del dominio.
Crear una copia de sombra del disco C
:
Copiar NTDS.dit
de la copia de sombra:
Alternativamente, utiliza robocopy
para copiar archivos:
Extraer SYSTEM
y SAM
para la recuperación de hashes:
Recuperar todos los hashes de NTDS.dit
:
Configura el sistema de archivos NTFS para el servidor SMB en la máquina atacante y almacena en caché las credenciales SMB en la máquina objetivo.
Usa wbadmin.exe
para la copia de seguridad del sistema y la extracción de NTDS.dit
:
Para una demostración práctica, consulta VIDEO DEMOSTRATIVO CON IPPSEC.
Los miembros del grupo DnsAdmins pueden explotar sus privilegios para cargar una DLL arbitraria con privilegios de SYSTEM en un servidor DNS, a menudo alojado en Controladores de Dominio. Esta capacidad permite un potencial de explotación significativo.
Para listar los miembros del grupo DnsAdmins, usa:
Los miembros pueden hacer que el servidor DNS cargue una DLL arbitraria (ya sea localmente o desde un recurso compartido remoto) utilizando comandos como:
Reiniciar el servicio DNS (lo que puede requerir permisos adicionales) es necesario para que se cargue el DLL:
Para más detalles sobre este vector de ataque, consulte ired.team.
También es factible usar mimilib.dll para la ejecución de comandos, modificándolo para ejecutar comandos específicos o shells inversos. Consulte esta publicación para más información.
DnsAdmins pueden manipular registros DNS para realizar ataques Man-in-the-Middle (MitM) creando un registro WPAD después de deshabilitar la lista de bloqueo de consultas global. Herramientas como Responder o Inveigh se pueden usar para suplantar y capturar tráfico de red.
Los miembros pueden acceder a los registros de eventos, encontrando potencialmente información sensible como contraseñas en texto plano o detalles de ejecución de comandos:
Este grupo puede modificar DACLs en el objeto de dominio, lo que podría otorgar privilegios de DCSync. Las técnicas para la escalada de privilegios que explotan este grupo se detallan en el repositorio de GitHub Exchange-AD-Privesc.
Los Administradores de Hyper-V tienen acceso completo a Hyper-V, lo que puede ser explotado para obtener control sobre Controladores de Dominio virtualizados. Esto incluye clonar DCs en vivo y extraer hashes NTLM del archivo NTDS.dit.
El Servicio de Mantenimiento de Mozilla Firefox puede ser explotado por los Administradores de Hyper-V para ejecutar comandos como SYSTEM. Esto implica crear un enlace duro a un archivo protegido del SYSTEM y reemplazarlo con un ejecutable malicioso:
Nota: La explotación de enlaces duros ha sido mitigada en las actualizaciones recientes de Windows.
En entornos donde se despliega Microsoft Exchange, un grupo especial conocido como Organización de Gestión tiene capacidades significativas. Este grupo tiene privilegios para acceder a los buzones de todos los usuarios del dominio y mantiene control total sobre la Unidad Organizativa (OU) 'Grupos de Seguridad de Microsoft Exchange'. Este control incluye el grupo Exchange Windows Permissions
, que puede ser explotado para la escalación de privilegios.
Los miembros del grupo Operadores de Impresión están dotados de varios privilegios, incluyendo el SeLoadDriverPrivilege
, que les permite iniciar sesión localmente en un Controlador de Dominio, apagarlo y gestionar impresoras. Para explotar estos privilegios, especialmente si SeLoadDriverPrivilege
no es visible en un contexto no elevado, es necesario eludir el Control de Cuentas de Usuario (UAC).
Para listar los miembros de este grupo, se utiliza el siguiente comando de PowerShell:
Para obtener técnicas de explotación más detalladas relacionadas con SeLoadDriverPrivilege
, se deben consultar recursos de seguridad específicos.
A los miembros de este grupo se les concede acceso a PCs a través del Protocolo de Escritorio Remoto (RDP). Para enumerar a estos miembros, están disponibles comandos de PowerShell:
Más información sobre la explotación de RDP se puede encontrar en recursos dedicados de pentesting.
Los miembros pueden acceder a PCs a través de Windows Remote Management (WinRM). La enumeración de estos miembros se logra a través de:
Para las técnicas de explotación relacionadas con WinRM, se debe consultar la documentación específica.
Este grupo tiene permisos para realizar varias configuraciones en los Controladores de Dominio, incluyendo privilegios de respaldo y restauración, cambio de hora del sistema y apagado del sistema. Para enumerar los miembros, el comando proporcionado es:
Usa Trickest para construir y automatizar flujos de trabajo fácilmente impulsados por las herramientas comunitarias más avanzadas del mundo. Obtén acceso hoy:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)