Privileged Groups
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Use Trickest to easily build and automate workflows powered by the world's most advanced community tools. Get Access Today:
Wakurugenzi
Wakurugenzi wa Kikoa
Wakurugenzi wa Biashara
Kikundi hiki kina uwezo wa kuunda akaunti na vikundi ambavyo si wasimamizi kwenye kikoa. Aidha, kinaruhusu kuingia kwa ndani kwenye Kituo cha Kikoa (DC).
Ili kubaini wanachama wa kikundi hiki, amri ifuatayo inatekelezwa:
Kuongeza watumiaji wapya kunaruhusiwa, pamoja na kuingia kwa ndani kwenye DC01.
Orodha ya Udhibiti wa Ufikiaji (ACL) ya kundi la AdminSDHolder ni muhimu kwani inaweka ruhusa kwa "vikundi vilivyolindwa" ndani ya Active Directory, ikiwa ni pamoja na vikundi vyenye mamlaka ya juu. Mekanismu hii inahakikisha usalama wa vikundi hivi kwa kuzuia mabadiliko yasiyoruhusiwa.
Mshambuliaji anaweza kutumia hili kwa kubadilisha ACL ya kundi la AdminSDHolder, akitoa ruhusa kamili kwa mtumiaji wa kawaida. Hii itampa mtumiaji huyo udhibiti kamili juu ya vikundi vyote vilivyolindwa. Ikiwa ruhusa za mtumiaji huyu zitabadilishwa au kuondolewa, zitarudishwa kiotomatiki ndani ya saa moja kutokana na muundo wa mfumo.
Amri za kupitia wanachama na kubadilisha ruhusa ni:
A script is available to expedite the restoration process: Invoke-ADSDPropagation.ps1.
For more details, visit ired.team.
Uanachama katika kundi hili unaruhusu kusoma vitu vilivyofutwa vya Active Directory, ambavyo vinaweza kufichua taarifa nyeti:
Upatikanaji wa faili kwenye DC umewekwa mipaka isipokuwa mtumiaji ni sehemu ya kundi la Server Operators
, ambalo hubadilisha kiwango cha upatikanaji.
Kwa kutumia PsService
au sc
kutoka Sysinternals, mtu anaweza kukagua na kubadilisha ruhusa za huduma. Kundi la Server Operators
, kwa mfano, lina udhibiti kamili juu ya huduma fulani, kuruhusu utekelezaji wa amri zisizo na mipaka na kupandisha hadhi:
Hii amri inaonyesha kwamba Server Operators
wana ufikiaji kamili, ikiruhusu usimamizi wa huduma kwa ajili ya haki za juu.
Uanachama katika kundi la Backup Operators
unatoa ufikiaji wa mfumo wa faili wa DC01
kutokana na haki za SeBackup
na SeRestore
. Hizi haki zinaruhusu kupita kwenye folda, kuorodhesha, na uwezo wa kunakili faili, hata bila ruhusa maalum, kwa kutumia bendera ya FILE_FLAG_BACKUP_SEMANTICS
. Kutumia scripts maalum ni muhimu kwa mchakato huu.
Ili kuorodhesha wanachama wa kundi, tekeleza:
Ili kutumia haki hizi kwa ndani, hatua zifuatazo zinatumika:
Ingiza maktaba muhimu:
Wezesha na thibitisha SeBackupPrivilege
:
Pata na nakili faili kutoka kwa saraka zilizozuiliwa, kwa mfano:
Upatikanaji wa moja kwa moja kwenye mfumo wa faili wa Domain Controller unaruhusu wizi wa hifadhidata ya NTDS.dit
, ambayo ina hash zote za NTLM za watumiaji na kompyuta za eneo.
Tengeneza nakala ya kivuli ya diski ya C
:
Nakili NTDS.dit
kutoka kwa nakala ya kivuli:
Mbali na hayo, tumia robocopy
kwa ajili ya nakala za faili:
Toa SYSTEM
na SAM
kwa ajili ya kupata hash:
Pata hash zote kutoka NTDS.dit
:
Weka mfumo wa faili wa NTFS kwa seva ya SMB kwenye mashine ya mshambuliaji na uhifadhi akiba ya akreditivu za SMB kwenye mashine lengwa.
Tumia wbadmin.exe
kwa ajili ya nakala ya mfumo na uchimbaji wa NTDS.dit
:
Kwa maonyesho ya vitendo, angalia VIDEO YA DEMO NA IPPSEC.
Wajumbe wa kundi la DnsAdmins wanaweza kutumia mamlaka yao kupakia DLL isiyo na mipaka yenye mamlaka ya SYSTEM kwenye seva ya DNS, mara nyingi inayoendeshwa kwenye Wajenzi wa Kikoa. Uwezo huu unaruhusu uwezekano mkubwa wa unyakuzi.
Ili kuorodhesha wajumbe wa kundi la DnsAdmins, tumia:
Wajumbe wanaweza kufanya seva ya DNS ipakue DLL isiyo ya kawaida (iwe kwa ndani au kutoka kwa sehemu ya mbali) kwa kutumia amri kama:
Kuanza upya huduma ya DNS (ambayo inaweza kuhitaji ruhusa za ziada) ni muhimu ili DLL iweze kupakiwa:
Kwa maelezo zaidi kuhusu njia hii ya shambulio, rejelea ired.team.
Pia inawezekana kutumia mimilib.dll kwa ajili ya utekelezaji wa amri, kuibadilisha ili kutekeleza amri maalum au shells za kurudi. Angalia chapisho hili kwa maelezo zaidi.
DnsAdmins wanaweza kubadilisha rekodi za DNS ili kufanya mashambulizi ya Man-in-the-Middle (MitM) kwa kuunda rekodi ya WPAD baada ya kuzima orodha ya kuzuia maswali ya kimataifa. Zana kama Responder au Inveigh zinaweza kutumika kwa ajili ya kudanganya na kukamata trafiki ya mtandao.
Wajumbe wanaweza kufikia kumbukumbu za matukio, huenda wakapata taarifa nyeti kama nywila za maandiko au maelezo ya utekelezaji wa amri:
Kikundi hiki kinaweza kubadilisha DACLs kwenye kituo cha kikoa, huenda kikatoa ruhusa za DCSync. Mbinu za kupandisha hadhi zinazotumia kikundi hiki zimeelezewa katika repo ya Exchange-AD-Privesc ya GitHub.
Wataalam wa Hyper-V wana ufikiaji kamili wa Hyper-V, ambayo inaweza kutumiwa kupata udhibiti wa Wataalam wa Kikoa wa virtualized. Hii inajumuisha kunakili DCs za moja kwa moja na kutoa NTLM hashes kutoka kwa faili ya NTDS.dit.
Huduma ya Matengenezo ya Mozilla ya Firefox inaweza kutumiwa na Wataalam wa Hyper-V kutekeleza amri kama SYSTEM. Hii inahusisha kuunda kiungo kigumu kwa faili ya SYSTEM iliyo na ulinzi na kuibadilisha na executable yenye uharibifu:
Note: Ukatili wa kiungo kigumu umepunguziliwa mbali katika sasisho za hivi karibuni za Windows.
Katika mazingira ambapo Microsoft Exchange imewekwa, kundi maalum linalojulikana kama Usimamizi wa Shirika lina uwezo mkubwa. Kundi hili lina haki ya kufikia sanduku la barua la watumiaji wote wa kikoa na lina udhibiti kamili juu ya 'Makundi ya Usalama ya Microsoft Exchange' Kitengo cha Shirika (OU). Udhibiti huu unajumuisha kundi la Exchange Windows Permissions
, ambalo linaweza kutumika kwa ajili ya kupandisha hadhi.
Wajumbe wa kundi la Opereta wa Print wanapewa haki kadhaa, ikiwa ni pamoja na SeLoadDriverPrivilege
, ambayo inawaruhusu kuingia kwa ndani kwenye Kidhibiti cha Kikoa, kukifunga, na kusimamia printa. Ili kutumia haki hizi, hasa ikiwa SeLoadDriverPrivilege
haionekani chini ya muktadha usio na kiwango cha juu, kupita Udhibiti wa Akaunti ya Mtumiaji (UAC) ni muhimu.
Ili kuorodhesha wajumbe wa kundi hili, amri ifuatayo ya PowerShell inatumika:
Kwa mbinu za kina za unyakuzi zinazohusiana na SeLoadDriverPrivilege
, mtu anapaswa kutafuta rasilimali maalum za usalama.
Wajumbe wa kundi hili wanapewa ufikiaji wa kompyuta kupitia Protokali ya Desktop ya Kijijini (RDP). Ili kuhesabu wajumbe hawa, amri za PowerShell zinapatikana:
Zaidi ya ufahamu kuhusu kutumia RDP yanaweza kupatikana katika rasilimali maalum za pentesting.
Wajumbe wanaweza kufikia kompyuta kupitia Windows Remote Management (WinRM). Uhesabuji wa wajumbe hawa unafanywa kupitia:
Kwa mbinu za unyakuzi zinazohusiana na WinRM, nyaraka maalum zinapaswa kutazamwa.
Kikundi hiki kina ruhusa za kufanya usanidi mbalimbali kwenye Wajibu wa Kikoa, ikiwa ni pamoja na ruhusa za kuhifadhi na kurejesha, kubadilisha muda wa mfumo, na kuzima mfumo. Ili kuhesabu wanachama, amri iliyotolewa ni:
Tumia Trickest kujenga na kujiendesha kazi kwa urahisi zenye nguvu za zana za jamii za kisasa zaidi duniani. Pata Ufikiaji Leo:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)