Privileged Groups
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Administratori
Administratori domena
Administratori preduzeća
Ova grupa ima ovlašćenje da kreira naloge i grupe koje nisu administratori na domenu. Pored toga, omogućava lokalno prijavljivanje na kontroler domena (DC).
Da bi se identifikovali članovi ove grupe, izvršava se sledeća komanda:
Dodavanje novih korisnika je dozvoljeno, kao i lokalna prijava na DC01.
AdminSDHolder grupa Access Control List (ACL) je ključna jer postavlja dozvole za sve "zaštićene grupe" unutar Active Directory, uključujući grupe sa visokim privilegijama. Ovaj mehanizam osigurava bezbednost ovih grupa sprečavanjem neovlašćenih izmena.
Napadač bi mogao da iskoristi ovo modifikovanjem ACL-a AdminSDHolder grupe, dodeljujući pune dozvole standardnom korisniku. Ovo bi efikasno dalo tom korisniku punu kontrolu nad svim zaštićenim grupama. Ako se dozvole ovog korisnika promene ili uklone, one će automatski biti vraćene u roku od sat vremena zbog dizajna sistema.
Komande za pregled članova i modifikaciju dozvola uključuju:
Dostupan je skript za ubrzavanje procesa obnavljanja: Invoke-ADSDPropagation.ps1.
Za više detalja, posetite ired.team.
Članstvo u ovoj grupi omogućava čitanje obrisanih objekata Active Directory-a, što može otkriti osetljive informacije:
Pristup datotekama na DC-u je ograničen osim ako korisnik nije deo grupe Server Operators
, što menja nivo pristupa.
Korišćenjem PsService
ili sc
iz Sysinternals, može se pregledati i modifikovati dozvole servisa. Grupa Server Operators
, na primer, ima potpunu kontrolu nad određenim servisima, što omogućava izvršavanje proizvoljnih komandi i eskalaciju privilegija:
Ova komanda otkriva da Server Operators
imaju potpuni pristup, omogućavajući manipulaciju uslugama za povišene privilegije.
Članstvo u grupi Backup Operators
pruža pristup DC01
datotečnom sistemu zbog privilegija SeBackup
i SeRestore
. Ove privilegije omogućavaju pretragu foldera, listanje i kopiranje datoteka, čak i bez eksplicitnih dozvola, koristeći FILE_FLAG_BACKUP_SEMANTICS
flag. Korišćenje specifičnih skripti je neophodno za ovaj proces.
Da biste naveli članove grupe, izvršite:
Da bi se iskoristile ove privilegije lokalno, koriste se sledeći koraci:
Uvezi potrebne biblioteke:
Omogućite i verifikujte SeBackupPrivilege
:
Pristupite i kopirajte datoteke iz ograničenih direktorijuma, na primer:
Direktan pristup datotečnom sistemu kontrolera domena omogućava krađu NTDS.dit
baze podataka, koja sadrži sve NTLM hešove za korisnike i računare u domenu.
Kreirajte senku kopiju C
diska:
Kopirajte NTDS.dit
iz senčne kopije:
Alternativno, koristite robocopy
za kopiranje fajlova:
Izvucite SYSTEM
i SAM
za preuzimanje hešova:
Preuzmite sve hash-e iz NTDS.dit
:
Postavite NTFS datotečni sistem za SMB server na mašini napadača i keširajte SMB akreditive na cilјnoj mašini.
Koristite wbadmin.exe
za sistemsku rezervnu kopiju i ekstrakciju NTDS.dit
:
Za praktičnu demonstraciju, pogledajte DEMO VIDEO SA IPPSEC.
Članovi DnsAdmins grupe mogu iskoristiti svoje privilegije da učitaju proizvoljni DLL sa SYSTEM privilegijama na DNS serveru, koji se često hostuje na kontrolerima domena. Ova sposobnost omogućava značajan potencijal za eksploataciju.
Da biste prikazali članove DnsAdmins grupe, koristite:
Članovi mogu naterati DNS server da učita proizvoljni DLL (bilo lokalno ili sa udaljenog dela) koristeći komande kao što su:
Ponovno pokretanje DNS usluge (što može zahtevati dodatne dozvole) je neophodno da bi se DLL učitao:
Za više detalja o ovom napadnom vektoru, pogledajte ired.team.
Takođe je moguće koristiti mimilib.dll za izvršavanje komandi, modifikujući ga da izvršava specifične komande ili reverzne shell-ove. Pogledajte ovaj post za više informacija.
DnsAdmins mogu manipulisati DNS zapisima da bi izveli Man-in-the-Middle (MitM) napade kreiranjem WPAD zapisa nakon onemogućavanja globalne liste blokiranih upita. Alati poput Responder-a ili Inveigh-a mogu se koristiti za spoofing i hvatanje mrežnog saobraćaja.
### Čitaoci događaja Članovi mogu pristupiti dnevnicima događaja, potencijalno pronalazeći osetljive informacije kao što su lozinke u običnom tekstu ili detalji izvršavanja komandi:
Ova grupa može da menja DACL-ove na objektu domena, potencijalno dodeljujući DCSync privilegije. Tehnike za eskalaciju privilegija koje koriste ovu grupu su detaljno opisane u Exchange-AD-Privesc GitHub repozitorijumu.
Hyper-V administratori imaju potpuni pristup Hyper-V, što se može iskoristiti za preuzimanje kontrole nad virtuelizovanim domen kontrolerima. To uključuje kloniranje aktivnih DC-ova i vađenje NTLM hash-eva iz NTDS.dit datoteke.
Mozilla Maintenance Service u Firefox-u može biti iskorišćen od strane Hyper-V administratora za izvršavanje komandi kao SYSTEM. To uključuje kreiranje tvrdog linka do zaštićene SYSTEM datoteke i zamenu sa zlonamernim izvršnim fajlom:
Napomena: Iskorišćavanje hard linkova je ublaženo u nedavnim Windows ažuriranjima.
U okruženjima gde je Microsoft Exchange implementiran, posebna grupa poznata kao Organizacija Upravljanje ima značajne mogućnosti. Ova grupa ima privilegiju da pristupa poštanskim sandučetima svih korisnika domena i održava potpunu kontrolu nad 'Microsoft Exchange Security Groups' Organizacijskom Jedinicom (OU). Ova kontrola uključuje Exchange Windows Permissions
grupu, koja se može iskoristiti za eskalaciju privilegija.
Članovi grupe Print Operatori imaju nekoliko privilegija, uključujući SeLoadDriverPrivilege
, koja im omogućava da se lokalno prijave na Kontroler Domena, isključe ga i upravljaju štampačima. Da bi iskoristili ove privilegije, posebno ako SeLoadDriverPrivilege
nije vidljiv u neuzdignutom kontekstu, potrebno je zaobići Kontrolu Korisničkog Naloga (UAC).
Da biste naveli članove ove grupe, koristi se sledeća PowerShell komanda:
Za detaljnije tehnike eksploatacije vezane za SeLoadDriverPrivilege
, treba konsultovati specifične bezbednosne resurse.
Članovima ove grupe je odobren pristup računarima putem Protokola daljinske radne površine (RDP). Da bi se izbrojali ovi članovi, dostupne su PowerShell komande:
Dalje informacije o iskorišćavanju RDP-a mogu se naći u posvećenim pentesting resursima.
Članovi mogu pristupiti računarima putem Windows Remote Management (WinRM). Enumeracija ovih članova se postiže kroz:
Za tehnike eksploatacije povezane sa WinRM, treba konsultovati specifičnu dokumentaciju.
Ova grupa ima dozvole za izvođenje raznih konfiguracija na kontrolerima domena, uključujući privilegije za pravljenje rezervnih kopija i vraćanje, promenu sistemskog vremena i isključivanje sistema. Da biste nabrojali članove, data je sledeća komanda:
Koristite Trickest za lako kreiranje i automatizaciju radnih tokova pokretanih najnaprednijim alatima zajednice. Pribavite pristup danas:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)