Privileged Groups
Last updated
Last updated
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Administratorzy
Administratorzy domeny
Administratorzy przedsiębiorstwa
Grupa ta ma uprawnienia do tworzenia kont i grup, które nie są administratorami w domenie. Dodatkowo umożliwia lokalne logowanie do kontrolera domeny (DC).
Aby zidentyfikować członków tej grupy, wykonuje się następujące polecenie:
Dodawanie nowych użytkowników jest dozwolone, a także lokalne logowanie do DC01.
Lista Kontroli Dostępu (ACL) grupy AdminSDHolder jest kluczowa, ponieważ ustala uprawnienia dla wszystkich "chronionych grup" w Active Directory, w tym grup o wysokich uprawnieniach. Ten mechanizm zapewnia bezpieczeństwo tych grup, zapobiegając nieautoryzowanym modyfikacjom.
Atakujący mógłby to wykorzystać, modyfikując ACL grupy AdminSDHolder, przyznając pełne uprawnienia standardowemu użytkownikowi. To skutecznie dałoby temu użytkownikowi pełną kontrolę nad wszystkimi chronionymi grupami. Jeśli uprawnienia tego użytkownika zostaną zmienione lub usunięte, zostaną automatycznie przywrócone w ciągu godziny z powodu konstrukcji systemu.
Polecenia do przeglądania członków i modyfikowania uprawnień obejmują:
Dostępny jest skrypt, który przyspiesza proces przywracania: Invoke-ADSDPropagation.ps1.
Aby uzyskać więcej informacji, odwiedź ired.team.
Członkostwo w tej grupie umożliwia odczyt usuniętych obiektów Active Directory, co może ujawnić wrażliwe informacje:
Dostęp do plików na DC jest ograniczony, chyba że użytkownik jest częścią grupy Server Operators
, co zmienia poziom dostępu.
Używając PsService
lub sc
z Sysinternals, można sprawdzić i zmodyfikować uprawnienia usług. Grupa Server Operators
, na przykład, ma pełną kontrolę nad niektórymi usługami, co pozwala na wykonywanie dowolnych poleceń i eskalację uprawnień:
To polecenie ujawnia, że Server Operators
mają pełny dostęp, co umożliwia manipulację usługami w celu uzyskania podwyższonych uprawnień.
Członkostwo w grupie Backup Operators
zapewnia dostęp do systemu plików DC01
dzięki uprawnieniom SeBackup
i SeRestore
. Uprawnienia te umożliwiają przechodzenie przez foldery, wyświetlanie listy oraz kopiowanie plików, nawet bez wyraźnych uprawnień, przy użyciu flagi FILE_FLAG_BACKUP_SEMANTICS
. Wykorzystanie konkretnych skryptów jest konieczne w tym procesie.
Aby wyświetlić członków grupy, wykonaj:
Aby wykorzystać te uprawnienia lokalnie, stosuje się następujące kroki:
Importuj niezbędne biblioteki:
Włącz i zweryfikuj SeBackupPrivilege
:
Uzyskaj dostęp i skopiuj pliki z ograniczonych katalogów, na przykład:
Bezpośredni dostęp do systemu plików kontrolera domeny umożliwia kradzież bazy danych NTDS.dit
, która zawiera wszystkie hashe NTLM dla użytkowników i komputerów w domenie.
Utwórz kopię zapasową dysku C
:
Skopiuj NTDS.dit
z kopii zapasowej:
Alternatywnie, użyj robocopy
do kopiowania plików:
Wyodrębnij SYSTEM
i SAM
w celu odzyskania haszy:
Pobierz wszystkie hashe z NTDS.dit
:
Skonfiguruj system plików NTFS dla serwera SMB na maszynie atakującej i zbuforuj poświadczenia SMB na maszynie docelowej.
Użyj wbadmin.exe
do tworzenia kopii zapasowej systemu i ekstrakcji NTDS.dit
:
For a practical demonstration, see DEMO VIDEO WITH IPPSEC.
Członkowie grupy DnsAdmins mogą wykorzystać swoje uprawnienia do załadowania dowolnej biblioteki DLL z uprawnieniami SYSTEM na serwerze DNS, często hostowanym na kontrolerach domeny. Ta zdolność pozwala na znaczny potencjał do eksploatacji.
Aby wyświetlić członków grupy DnsAdmins, użyj:
Członkowie mogą sprawić, że serwer DNS załaduje dowolny DLL (lokalnie lub z zdalnego udziału) za pomocą poleceń takich jak:
Restartowanie usługi DNS (co może wymagać dodatkowych uprawnień) jest konieczne, aby DLL mogła zostać załadowana:
For more details on this attack vector, refer to ired.team.
Możliwe jest również użycie mimilib.dll do wykonania poleceń, modyfikując go w celu wykonania konkretnych poleceń lub odwrotnych powłok. Sprawdź ten post po więcej informacji.
DnsAdmins mogą manipulować rekordami DNS, aby przeprowadzać ataki Man-in-the-Middle (MitM), tworząc rekord WPAD po wyłączeniu globalnej listy blokad zapytań. Narzędzia takie jak Responder lub Inveigh mogą być używane do fałszowania i przechwytywania ruchu sieciowego.
### Event Log Readers Członkowie mogą uzyskiwać dostęp do dzienników zdarzeń, potencjalnie znajdując wrażliwe informacje, takie jak hasła w postaci czystego tekstu lub szczegóły wykonania poleceń:
Ta grupa może modyfikować DACL na obiekcie domeny, potencjalnie przyznając uprawnienia DCSync. Techniki eskalacji uprawnień wykorzystujące tę grupę są szczegółowo opisane w repozytorium Exchange-AD-Privesc na GitHubie.
Administratorzy Hyper-V mają pełny dostęp do Hyper-V, co może być wykorzystane do przejęcia kontroli nad wirtualizowanymi kontrolerami domeny. Obejmuje to klonowanie aktywnych kontrolerów domeny i wydobywanie skrótów NTLM z pliku NTDS.dit.
Usługa konserwacyjna Mozilla Firefox może być wykorzystywana przez administratorów Hyper-V do wykonywania poleceń jako SYSTEM. Polega to na utworzeniu twardego linku do chronionego pliku SYSTEM i zastąpieniu go złośliwym plikiem wykonywalnym:
Note: Wykorzystanie twardych linków zostało złagodzone w ostatnich aktualizacjach systemu Windows.
W środowiskach, w których zainstalowano Microsoft Exchange, specjalna grupa znana jako Zarządzanie Organizacją posiada znaczące uprawnienia. Ta grupa ma przywilej dostępu do skrzynek pocztowych wszystkich użytkowników domeny i utrzymuje pełną kontrolę nad jednostką organizacyjną 'Microsoft Exchange Security Groups'. Ta kontrola obejmuje grupę Exchange Windows Permissions
, która może być wykorzystana do eskalacji uprawnień.
Członkowie grupy Operatorzy Drukarek mają przyznane kilka uprawnień, w tym SeLoadDriverPrivilege
, które pozwala im logować się lokalnie do kontrolera domeny, wyłączać go i zarządzać drukarkami. Aby wykorzystać te uprawnienia, szczególnie jeśli SeLoadDriverPrivilege
nie jest widoczne w kontekście bez podwyższonych uprawnień, konieczne jest ominięcie Kontroli Konta Użytkownika (UAC).
Aby wylistować członków tej grupy, używa się następującego polecenia PowerShell:
Dla bardziej szczegółowych technik eksploatacji związanych z SeLoadDriverPrivilege
, należy skonsultować się z konkretnymi zasobami bezpieczeństwa.
Członkowie tej grupy mają dostęp do komputerów za pośrednictwem protokołu pulpitu zdalnego (RDP). Aby wylistować tych członków, dostępne są polecenia PowerShell:
Dalsze informacje na temat wykorzystywania RDP można znaleźć w dedykowanych zasobach pentestingowych.
Członkowie mogą uzyskiwać dostęp do komputerów za pomocą Windows Remote Management (WinRM). Wykrywanie tych członków osiąga się poprzez:
Dla technik eksploatacji związanych z WinRM, należy skonsultować się z odpowiednią dokumentacją.
Ta grupa ma uprawnienia do wykonywania różnych konfiguracji na kontrolerach domeny, w tym uprawnienia do tworzenia kopii zapasowych i przywracania, zmiany czasu systemowego oraz wyłączania systemu. Aby wylistować członków, należy użyć następującego polecenia:
Użyj Trickest, aby łatwo budować i automatyzować przepływy pracy zasilane przez najbardziej zaawansowane narzędzia społecznościowe na świecie. Uzyskaj dostęp już dziś:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)