Privileged Groups
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest para construir e automatizar fluxos de trabalho facilmente, impulsionados pelas ferramentas comunitárias mais avançadas do mundo. Acesse hoje:
Administradores
Administradores de Domínio
Administradores de Empresa
Este grupo tem o poder de criar contas e grupos que não são administradores no domínio. Além disso, permite o login local no Controlador de Domínio (DC).
Para identificar os membros deste grupo, o seguinte comando é executado:
Adicionar novos usuários é permitido, assim como o login local no DC01.
A Lista de Controle de Acesso (ACL) do grupo AdminSDHolder é crucial, pois define permissões para todos os "grupos protegidos" dentro do Active Directory, incluindo grupos de alto privilégio. Esse mecanismo garante a segurança desses grupos, impedindo modificações não autorizadas.
Um atacante poderia explorar isso modificando a ACL do grupo AdminSDHolder, concedendo permissões totais a um usuário padrão. Isso daria efetivamente a esse usuário controle total sobre todos os grupos protegidos. Se as permissões desse usuário forem alteradas ou removidas, elas seriam automaticamente restauradas dentro de uma hora devido ao design do sistema.
Os comandos para revisar os membros e modificar permissões incluem:
Um script está disponível para agilizar o processo de restauração: Invoke-ADSDPropagation.ps1.
Para mais detalhes, visite ired.team.
A filiação a este grupo permite a leitura de objetos do Active Directory deletados, o que pode revelar informações sensíveis:
O acesso a arquivos no DC é restrito, a menos que o usuário faça parte do grupo Server Operators
, o que altera o nível de acesso.
Usando PsService
ou sc
do Sysinternals, é possível inspecionar e modificar permissões de serviço. O grupo Server Operators
, por exemplo, tem controle total sobre certos serviços, permitindo a execução de comandos arbitrários e a escalação de privilégios:
Este comando revela que Server Operators
têm acesso total, permitindo a manipulação de serviços para privilégios elevados.
A adesão ao grupo Backup Operators
fornece acesso ao sistema de arquivos DC01
devido aos privilégios SeBackup
e SeRestore
. Esses privilégios permitem a travessia de pastas, listagem e capacidades de cópia de arquivos, mesmo sem permissões explícitas, usando a flag FILE_FLAG_BACKUP_SEMANTICS
. É necessário utilizar scripts específicos para este processo.
Para listar os membros do grupo, execute:
Para aproveitar esses privilégios localmente, os seguintes passos são empregados:
Importar bibliotecas necessárias:
Habilitar e verificar SeBackupPrivilege
:
Acesse e copie arquivos de diretórios restritos, por exemplo:
O acesso direto ao sistema de arquivos do Controlador de Domínio permite o roubo do banco de dados NTDS.dit
, que contém todos os hashes NTLM para usuários e computadores do domínio.
Crie uma cópia sombra do drive C
:
Copie NTDS.dit
da cópia de sombra:
Alternativamente, use robocopy
para copiar arquivos:
Extraia SYSTEM
e SAM
para recuperação de hash:
Recupere todos os hashes do NTDS.dit
:
Configure o sistema de arquivos NTFS para o servidor SMB na máquina do atacante e armazene em cache as credenciais SMB na máquina alvo.
Use wbadmin.exe
para backup do sistema e extração do NTDS.dit
:
Para uma demonstração prática, veja VÍDEO DEMONSTRATIVO COM IPPSEC.
Membros do grupo DnsAdmins podem explorar seus privilégios para carregar uma DLL arbitrária com privilégios de SYSTEM em um servidor DNS, frequentemente hospedado em Controladores de Domínio. Essa capacidade permite um potencial de exploração significativo.
Para listar os membros do grupo DnsAdmins, use:
Os membros podem fazer o servidor DNS carregar uma DLL arbitrária (localmente ou de um compartilhamento remoto) usando comandos como:
Reiniciar o serviço DNS (o que pode exigir permissões adicionais) é necessário para que o DLL seja carregado:
Para mais detalhes sobre este vetor de ataque, consulte ired.team.
Também é viável usar mimilib.dll para execução de comandos, modificando-o para executar comandos específicos ou shells reversos. Verifique este post para mais informações.
DnsAdmins podem manipular registros DNS para realizar ataques Man-in-the-Middle (MitM) criando um registro WPAD após desativar a lista de bloqueio de consultas global. Ferramentas como Responder ou Inveigh podem ser usadas para spoofing e captura de tráfego de rede.
Membros podem acessar logs de eventos, potencialmente encontrando informações sensíveis, como senhas em texto simples ou detalhes de execução de comandos:
Este grupo pode modificar DACLs no objeto do domínio, potencialmente concedendo privilégios DCSync. Técnicas para escalonamento de privilégios explorando este grupo estão detalhadas no repositório GitHub Exchange-AD-Privesc.
Os Administradores do Hyper-V têm acesso total ao Hyper-V, o que pode ser explorado para obter controle sobre Controladores de Domínio virtualizados. Isso inclui clonar DCs ao vivo e extrair hashes NTLM do arquivo NTDS.dit.
O Serviço de Manutenção da Mozilla Firefox pode ser explorado por Administradores do Hyper-V para executar comandos como SYSTEM. Isso envolve criar um link físico para um arquivo protegido do SYSTEM e substituí-lo por um executável malicioso:
Nota: A exploração de links duros foi mitigada em atualizações recentes do Windows.
Em ambientes onde o Microsoft Exchange está implantado, um grupo especial conhecido como Gerenciamento de Organização possui capacidades significativas. Este grupo tem o privilégio de acessar as caixas de correio de todos os usuários do domínio e mantém controle total sobre a Unidade Organizacional (OU) 'Grupos de Segurança do Microsoft Exchange'. Este controle inclui o grupo Exchange Windows Permissions
, que pode ser explorado para escalonamento de privilégios.
Membros do grupo Operadores de Impressão são dotados de vários privilégios, incluindo o SeLoadDriverPrivilege
, que lhes permite fazer logon localmente em um Controlador de Domínio, desligá-lo e gerenciar impressoras. Para explorar esses privilégios, especialmente se SeLoadDriverPrivilege
não estiver visível em um contexto não elevado, é necessário contornar o Controle de Conta de Usuário (UAC).
Para listar os membros deste grupo, o seguinte comando PowerShell é usado:
Para técnicas de exploração mais detalhadas relacionadas ao SeLoadDriverPrivilege
, deve-se consultar recursos de segurança específicos.
Os membros deste grupo têm acesso a PCs via Protocolo de Área de Trabalho Remota (RDP). Para enumerar esses membros, comandos do PowerShell estão disponíveis:
Mais informações sobre a exploração do RDP podem ser encontradas em recursos dedicados de pentesting.
Membros podem acessar PCs através do Windows Remote Management (WinRM). A enumeração desses membros é realizada através de:
Para técnicas de exploração relacionadas ao WinRM, deve-se consultar a documentação específica.
Este grupo tem permissões para realizar várias configurações em Controladores de Domínio, incluindo privilégios de backup e restauração, alteração da hora do sistema e desligamento do sistema. Para enumerar os membros, o comando fornecido é:
Use Trickest para construir e automatizar fluxos de trabalho facilmente, impulsionados pelas ferramentas da comunidade mais avançadas do mundo. Acesse hoje:
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)