Privileged Groups
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Trickestを使用して、世界で最も先進的なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:
管理者
ドメイン管理者
エンタープライズ管理者
このグループは、ドメイン上で管理者でないアカウントやグループを作成する権限を持っています。さらに、ドメインコントローラー(DC)へのローカルログインを可能にします。
このグループのメンバーを特定するには、次のコマンドが実行されます:
新しいユーザーの追加が許可されており、DC01へのローカルログインも可能です。
AdminSDHolder グループのアクセス制御リスト (ACL) は重要であり、Active Directory 内のすべての「保護されたグループ」、特に高特権グループの権限を設定します。このメカニズムは、無許可の変更を防ぐことによって、これらのグループのセキュリティを確保します。
攻撃者は、AdminSDHolder グループの ACL を変更し、標準ユーザーに完全な権限を付与することでこれを悪用する可能性があります。これにより、そのユーザーはすべての保護されたグループに対して完全な制御を持つことになります。このユーザーの権限が変更または削除された場合、システムの設計により、1時間以内に自動的に復元されます。
メンバーを確認し、権限を変更するためのコマンドには次が含まれます:
スクリプトは復元プロセスを迅速化するために利用可能です: Invoke-ADSDPropagation.ps1。
詳細については、ired.teamを訪問してください。
このグループのメンバーシップは、削除された Active Directory オブジェクトの読み取りを可能にし、機密情報を明らかにする可能性があります:
DC上のファイルへのアクセスは、ユーザーがServer Operators
グループの一部でない限り制限されています。これにより、アクセスレベルが変更されます。
SysinternalsのPsService
またはsc
を使用することで、サービスの権限を検査および変更できます。たとえば、Server Operators
グループは特定のサービスに対して完全な制御を持ち、任意のコマンドの実行や特権昇格を可能にします。
このコマンドは、Server Operators
が完全なアクセス権を持ち、特権を昇格させるためにサービスを操作できることを明らかにします。
Backup Operators
グループのメンバーシップは、SeBackup
およびSeRestore
特権により、DC01
ファイルシステムへのアクセスを提供します。これらの特権により、明示的な権限がなくても、FILE_FLAG_BACKUP_SEMANTICS
フラグを使用してフォルダのトラバーサル、リスト表示、およびファイルコピー機能が可能になります。このプロセスには特定のスクリプトを利用する必要があります。
グループメンバーをリストするには、次のコマンドを実行します:
これらの特権をローカルで活用するために、以下の手順が実行されます:
必要なライブラリをインポートする:
SeBackupPrivilege
を有効にして確認する:
制限されたディレクトリからファイルにアクセスし、コピーします。例えば:
ドメインコントローラーのファイルシステムへの直接アクセスは、ドメインユーザーとコンピューターのすべてのNTLMハッシュを含むNTDS.dit
データベースの盗難を可能にします。
C
ドライブのシャドウコピーを作成します:
シャドウコピーから NTDS.dit
をコピーします:
代わりに、ファイルコピーには robocopy
を使用します:
ハッシュ取得のために SYSTEM
と SAM
を抽出する:
NTDS.dit
からすべてのハッシュを取得する:
攻撃者のマシンでSMBサーバー用のNTFSファイルシステムを設定し、ターゲットマシンにSMB資格情報をキャッシュします。
wbadmin.exe
を使用してシステムバックアップとNTDS.dit
の抽出を行います:
実践的なデモについては、DEMO VIDEO WITH IPPSECを参照してください。
DnsAdminsグループのメンバーは、DNSサーバー上でSYSTEM権限を持つ任意のDLLをロードするためにその権限を悪用できます。これは通常、ドメインコントローラー上でホストされています。この能力は、重大な悪用の可能性をもたらします。
DnsAdminsグループのメンバーをリストするには、次のコマンドを使用します:
メンバーは、次のようなコマンドを使用して、DNSサーバーに任意のDLL(ローカルまたはリモート共有から)をロードさせることができます:
DNSサービスを再起動する(追加の権限が必要な場合があります)は、DLLをロードするために必要です:
For more details on this attack vector, refer to ired.team.
mimilib.dllを使用してコマンド実行を行うことも可能であり、特定のコマンドやリバースシェルを実行するように変更できます。この投稿を確認してください さらなる情報のために。
DnsAdminsは、グローバルクエリブロックリストを無効にした後にWPADレコードを作成することで、DNSレコードを操作してMan-in-the-Middle (MitM)攻撃を実行できます。ResponderやInveighのようなツールを使用して、スプーフィングやネットワークトラフィックのキャプチャが可能です。
メンバーはイベントログにアクセスでき、平文のパスワードやコマンド実行の詳細など、機密情報を見つける可能性があります。
このグループは、ドメインオブジェクトのDACLを変更でき、潜在的にDCSync権限を付与することができます。このグループを利用した特権昇格の手法は、Exchange-AD-Privesc GitHubリポジトリに詳述されています。
Hyper-V 管理者は Hyper-V への完全なアクセス権を持ち、これを利用して仮想化されたドメインコントローラーを制御することができます。これには、ライブ DC のクローン作成や NTDS.dit ファイルから NTLM ハッシュを抽出することが含まれます。
Firefox の Mozilla Maintenance Service は、Hyper-V 管理者によって SYSTEM としてコマンドを実行するために悪用される可能性があります。これには、保護された SYSTEM ファイルへのハードリンクを作成し、それを悪意のある実行可能ファイルに置き換えることが含まれます。
Note: ハードリンクの悪用は最近のWindowsアップデートで軽減されています。
Microsoft Exchangeが展開されている環境では、Organization Managementという特別なグループが重要な権限を持っています。このグループはすべてのドメインユーザーのメールボックスにアクセスする特権を持ち、'Microsoft Exchange Security Groups'組織単位(OU)に対して完全な制御を維持しています。この制御には、特権昇格に悪用可能な**Exchange Windows Permissions
**グループが含まれます。
Print Operatorsグループのメンバーは、SeLoadDriverPrivilege
を含むいくつかの特権を持っており、これによりドメインコントローラーにローカルでログオンし、シャットダウンし、プリンターを管理することができます。これらの特権を悪用するには、特に**SeLoadDriverPrivilege
**が昇格されていないコンテキストで表示されない場合、ユーザーアカウント制御(UAC)をバイパスする必要があります。
このグループのメンバーをリストするには、次のPowerShellコマンドを使用します:
For more detailed exploitation techniques related to SeLoadDriverPrivilege
, one should consult specific security resources.
このグループのメンバーは、リモートデスクトッププロトコル(RDP)を介してPCにアクセスすることが許可されています。これらのメンバーを列挙するために、PowerShellコマンドが利用可能です:
さらにRDPを悪用するための洞察は、専用のpentestingリソースにあります。
メンバーは**Windows Remote Management (WinRM)**を介してPCにアクセスできます。これらのメンバーの列挙は、次の方法で達成されます:
WinRMに関連するエクスプロイト技術については、特定のドキュメントを参照する必要があります。
このグループは、ドメインコントローラー上でさまざまな構成を実行する権限を持っており、バックアップおよび復元の権限、システム時間の変更、システムのシャットダウンが含まれます。メンバーを列挙するためのコマンドは次のとおりです:
Trickestを使用して、世界で最も高度なコミュニティツールによって駆動されるワークフローを簡単に構築し、自動化します。 今すぐアクセスを取得:
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)