Abusing Active Directory ACLs/ACEs
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Esta página é principalmente um resumo das técnicas de https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-active-directory-acls-aces e https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/privileged-accounts-and-token-privileges. Para mais detalhes, confira os artigos originais.
Este privilégio concede a um atacante controle total sobre uma conta de usuário alvo. Uma vez que os direitos GenericAll
são confirmados usando o comando Get-ObjectAcl
, um atacante pode:
Alterar a Senha do Alvo: Usando net user <username> <password> /domain
, o atacante pode redefinir a senha do usuário.
Kerberoasting Direcionado: Atribuir um SPN à conta do usuário para torná-la kerberoastable, em seguida, usar Rubeus e targetedKerberoast.py para extrair e tentar quebrar os hashes do ticket-granting ticket (TGT).
ASREPRoasting direcionado: Desative a pré-autenticação para o usuário, tornando sua conta vulnerável ao ASREPRoasting.
Esse privilégio permite que um atacante manipule as associações de grupo se tiver direitos GenericAll
em um grupo como Domain Admins
. Após identificar o nome distinto do grupo com Get-NetGroup
, o atacante pode:
Adicionar-se ao Grupo de Administradores do Domínio: Isso pode ser feito por meio de comandos diretos ou usando módulos como Active Directory ou PowerSploit.
Ter esses privilégios em um objeto de computador ou em uma conta de usuário permite:
Kerberos Resource-based Constrained Delegation: Permite assumir o controle de um objeto de computador.
Shadow Credentials: Use esta técnica para se passar por uma conta de computador ou usuário explorando os privilégios para criar credenciais sombra.
Se um usuário tiver direitos de WriteProperty
em todos os objetos de um grupo específico (por exemplo, Domain Admins
), ele pode:
Adicionar-se ao Grupo Domain Admins: Atingível através da combinação dos comandos net user
e Add-NetGroupUser
, este método permite a escalada de privilégios dentro do domínio.
Este privilégio permite que atacantes se adicionem a grupos específicos, como Domain Admins
, através de comandos que manipulam diretamente a associação a grupos. Usar a seguinte sequência de comandos permite a auto-adição:
Um privilégio semelhante, isso permite que atacantes se adicionem diretamente a grupos modificando as propriedades do grupo se tiverem o direito de WriteProperty
nesses grupos. A confirmação e execução desse privilégio são realizadas com:
Ter o ExtendedRight
em um usuário para User-Force-Change-Password
permite redefinições de senha sem conhecer a senha atual. A verificação desse direito e sua exploração podem ser feitas através do PowerShell ou ferramentas de linha de comando alternativas, oferecendo vários métodos para redefinir a senha de um usuário, incluindo sessões interativas e comandos de uma linha para ambientes não interativos. Os comandos variam desde invocações simples do PowerShell até o uso de rpcclient
no Linux, demonstrando a versatilidade dos vetores de ataque.
Se um atacante descobrir que possui direitos de WriteOwner
sobre um grupo, ele pode mudar a propriedade do grupo para si mesmo. Isso é particularmente impactante quando o grupo em questão é Domain Admins
, pois mudar a propriedade permite um controle mais amplo sobre os atributos e a membresia do grupo. O processo envolve identificar o objeto correto via Get-ObjectAcl
e, em seguida, usar Set-DomainObjectOwner
para modificar o proprietário, seja por SID ou nome.
Esta permissão permite que um atacante modifique as propriedades do usuário. Especificamente, com acesso GenericWrite
, o atacante pode alterar o caminho do script de logon de um usuário para executar um script malicioso durante o logon do usuário. Isso é alcançado usando o comando Set-ADObject
para atualizar a propriedade scriptpath
do usuário alvo para apontar para o script do atacante.
Com esse privilégio, os atacantes podem manipular a associação a grupos, como adicionar a si mesmos ou a outros usuários a grupos específicos. Esse processo envolve a criação de um objeto de credencial, usando-o para adicionar ou remover usuários de um grupo e verificando as alterações de associação com comandos do PowerShell.
Possuir um objeto AD e ter privilégios de WriteDACL
sobre ele permite que um atacante se conceda privilégios de GenericAll
sobre o objeto. Isso é realizado através da manipulação do ADSI, permitindo controle total sobre o objeto e a capacidade de modificar suas associações de grupo. Apesar disso, existem limitações ao tentar explorar esses privilégios usando os cmdlets Set-Acl
/ Get-Acl
do módulo do Active Directory.
O ataque DCSync aproveita permissões específicas de replicação no domínio para imitar um Controlador de Domínio e sincronizar dados, incluindo credenciais de usuário. Essa técnica poderosa requer permissões como DS-Replication-Get-Changes
, permitindo que atacantes extraiam informações sensíveis do ambiente AD sem acesso direto a um Controlador de Domínio. Saiba mais sobre o ataque DCSync aqui.
O acesso delegado para gerenciar Objetos de Política de Grupo (GPOs) pode apresentar riscos significativos à segurança. Por exemplo, se um usuário como offense\spotless
tiver direitos de gerenciamento de GPO, ele pode ter privilégios como WriteProperty, WriteDacl e WriteOwner. Essas permissões podem ser abusadas para fins maliciosos, conforme identificado usando PowerView: bash Get-ObjectAcl -ResolveGUIDs | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
Para identificar GPOs mal configurados, os cmdlets do PowerSploit podem ser encadeados. Isso permite a descoberta de GPOs que um usuário específico tem permissões para gerenciar: powershell Get-NetGPO | %{Get-ObjectAcl -ResolveGUIDs -Name $_.Name} | ? {$_.IdentityReference -eq "OFFENSE\spotless"}
Computadores com uma Política Dada Aplicada: É possível resolver quais computadores uma GPO específica se aplica, ajudando a entender o escopo do impacto potencial. powershell Get-NetOU -GUID "{DDC640FF-634A-4442-BC2E-C05EED132F0C}" | % {Get-NetComputer -ADSpath $_}
Políticas Aplicadas a um Computador Dado: Para ver quais políticas são aplicadas a um computador específico, comandos como Get-DomainGPO
podem ser utilizados.
OUs com uma Política Dada Aplicada: Identificar unidades organizacionais (OUs) afetadas por uma política dada pode ser feito usando Get-DomainOU
.
GPOs mal configurados podem ser explorados para executar código, por exemplo, criando uma tarefa agendada imediata. Isso pode ser feito para adicionar um usuário ao grupo de administradores locais em máquinas afetadas, elevando significativamente os privilégios:
O módulo GroupPolicy, se instalado, permite a criação e vinculação de novas GPOs, e a configuração de preferências como valores de registro para executar backdoors em computadores afetados. Este método requer que a GPO seja atualizada e que um usuário faça login no computador para execução:
SharpGPOAbuse oferece um método para abusar de GPOs existentes adicionando tarefas ou modificando configurações sem a necessidade de criar novas GPOs. Esta ferramenta requer a modificação de GPOs existentes ou o uso de ferramentas RSAT para criar novas antes de aplicar as alterações:
Atualizações de GPO normalmente ocorrem a cada 90 minutos. Para acelerar esse processo, especialmente após implementar uma mudança, o comando gpupdate /force
pode ser usado no computador alvo para forçar uma atualização imediata da política. Este comando garante que quaisquer modificações nas GPOs sejam aplicadas sem esperar pelo próximo ciclo automático de atualização.
Ao inspecionar as Tarefas Agendadas para uma determinada GPO, como a Política Mal Configurada
, a adição de tarefas como evilTask
pode ser confirmada. Essas tarefas são criadas através de scripts ou ferramentas de linha de comando com o objetivo de modificar o comportamento do sistema ou escalar privilégios.
A estrutura da tarefa, conforme mostrado no arquivo de configuração XML gerado por New-GPOImmediateTask
, descreve os detalhes da tarefa agendada - incluindo o comando a ser executado e seus gatilhos. Este arquivo representa como as tarefas agendadas são definidas e gerenciadas dentro das GPOs, fornecendo um método para executar comandos ou scripts arbitrários como parte da aplicação da política.
As GPOs também permitem a manipulação de membros de usuários e grupos nos sistemas alvo. Ao editar os arquivos de política de Usuários e Grupos diretamente, os atacantes podem adicionar usuários a grupos privilegiados, como o grupo local administrators
. Isso é possível através da delegação de permissões de gerenciamento de GPO, que permite a modificação dos arquivos de política para incluir novos usuários ou alterar a filiação a grupos.
O arquivo de configuração XML para Usuários e Grupos descreve como essas mudanças são implementadas. Ao adicionar entradas a este arquivo, usuários específicos podem receber privilégios elevados em sistemas afetados. Este método oferece uma abordagem direta para a escalada de privilégios através da manipulação de GPO.
Além disso, métodos adicionais para executar código ou manter persistência, como aproveitar scripts de logon/logoff, modificar chaves de registro para autoruns, instalar software via arquivos .msi, ou editar configurações de serviços, também podem ser considerados. Essas técnicas fornecem várias maneiras de manter acesso e controlar sistemas alvo através do abuso de GPOs.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)