Privileged Groups
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
Yönetici
Alan Yöneticileri
Kurumsal Yöneticiler
Bu grup, alan üzerinde yönetici olmayan hesaplar ve gruplar oluşturma yetkisine sahiptir. Ayrıca, Alan Denetleyicisi'ne (DC) yerel giriş yapılmasını sağlar.
Bu grubun üyelerini tanımlamak için aşağıdaki komut çalıştırılır:
Yeni kullanıcı eklemek ve DC01'e yerel giriş yapmak mümkündür.
AdminSDHolder grubunun Erişim Kontrol Listesi (ACL), Active Directory içindeki tüm "korunan gruplar" için izinleri belirlediğinden kritik öneme sahiptir; bu gruplar arasında yüksek ayrıcalıklı gruplar da bulunmaktadır. Bu mekanizma, yetkisiz değişiklikleri önleyerek bu grupların güvenliğini sağlar.
Bir saldırgan, AdminSDHolder grubunun ACL'sini değiştirerek standart bir kullanıcıya tam izinler verebilir. Bu, o kullanıcıya tüm korunan gruplar üzerinde tam kontrol sağlamış olur. Eğer bu kullanıcının izinleri değiştirilir veya kaldırılırsa, sistemin tasarımı gereği bir saat içinde otomatik olarak geri yüklenir.
Üyeleri gözden geçirmek ve izinleri değiştirmek için kullanılan komutlar şunlardır:
Bir script, geri yükleme sürecini hızlandırmak için mevcuttur: Invoke-ADSDPropagation.ps1.
Daha fazla bilgi için ired.team adresini ziyaret edin.
Bu gruba üyelik, silinmiş Active Directory nesnelerinin okunmasına izin verir, bu da hassas bilgileri ortaya çıkarabilir:
DC üzerindeki dosyalara erişim, kullanıcı Server Operators
grubunun bir parçası değilse kısıtlıdır, bu da erişim seviyesini değiştirir.
Sysinternals'tan PsService
veya sc
kullanarak, hizmet izinlerini inceleyebilir ve değiştirebilirsiniz. Örneğin, Server Operators
grubu belirli hizmetler üzerinde tam kontrol sahibidir, bu da keyfi komutların yürütülmesine ve yetki yükseltmeye olanak tanır:
Bu komut, Server Operators
grubunun tam erişime sahip olduğunu ve yükseltilmiş ayrıcalıklar için hizmetlerin manipülasyonunu sağladığını ortaya koyar.
Yedek Operatörleri
grubuna üyelik, SeBackup
ve SeRestore
ayrıcalıkları nedeniyle DC01
dosya sistemine erişim sağlar. Bu ayrıcalıklar, açık izinler olmadan, FILE_FLAG_BACKUP_SEMANTICS
bayrağını kullanarak klasör geçişi, listeleme ve dosya kopyalama yeteneklerini etkinleştirir. Bu süreç için belirli betiklerin kullanılması gereklidir.
Grup üyelerini listelemek için şunu çalıştırın:
Bu ayrıcalıkları yerel olarak kullanmak için aşağıdaki adımlar uygulanır:
Gerekli kütüphaneleri içe aktarın:
SeBackupPrivilege
'i etkinleştir ve doğrula:
Kısıtlı dizinlerden dosyaları erişim ve kopyalama, örneğin:
Domain Controller'ın dosya sistemine doğrudan erişim, alan kullanıcıları ve bilgisayarları için tüm NTLM hash'lerini içeren NTDS.dit
veritabanının çalınmasına olanak tanır.
C
sürücüsünün bir gölge kopyasını oluşturun:
NTDS.dit
dosyasını yedek kopyadan kopyalayın:
Alternatif olarak, dosya kopyalamak için robocopy
kullanın:
Hash alımı için SYSTEM
ve SAM
'i çıkarın:
NTDS.dit
dosyasından tüm hash'leri al:
Saldırgan makinede SMB sunucusu için NTFS dosya sistemini ayarlayın ve hedef makinede SMB kimlik bilgilerini önbelleğe alın.
Sistem yedeği ve NTDS.dit
çıkarımı için wbadmin.exe
kullanın:
Pratik bir gösterim için DEMO VİDEOSU IPPSEC İLE bakın.
DnsAdmins grubunun üyeleri, DNS sunucusunda (genellikle Alan Denetleyicileri üzerinde barındırılır) SYSTEM ayrıcalıklarıyla rastgele bir DLL yüklemek için ayrıcalıklarını kullanabilirler. Bu yetenek, önemli bir istismar potansiyeli sağlar.
DnsAdmins grubunun üyelerini listelemek için:
Üyeler, DNS sunucusunun rastgele bir DLL'yi (yerel veya uzaktan bir paylaşımdan) yüklemesini sağlamak için şu komutları kullanabilir:
DNS hizmetinin yeniden başlatılması (bu ek izinler gerektirebilir) DLL'nin yüklenmesi için gereklidir:
For more details on this attack vector, refer to ired.team.
Aynı zamanda, belirli komutları veya ters kabukları çalıştırmak için mimilib.dll kullanmak da mümkündür. Daha fazla bilgi için bu gönderiyi kontrol edin.
DnsAdmins, global sorgu engelleme listesini devre dışı bıraktıktan sonra bir WPAD kaydı oluşturarak Man-in-the-Middle (MitM) saldırıları gerçekleştirmek için DNS kayıtlarını manipüle edebilir. Responder veya Inveigh gibi araçlar, sahtecilik yapmak ve ağ trafiğini yakalamak için kullanılabilir.
Üyeler, düz metin şifreler veya komut yürütme detayları gibi hassas bilgilere ulaşarak olay günlüklerine erişebilirler:
Bu grup, alan nesnesi üzerindeki DACL'leri değiştirebilir ve potansiyel olarak DCSync ayrıcalıkları verebilir. Bu grubu istismar eden ayrıcalık yükseltme teknikleri, Exchange-AD-Privesc GitHub deposunda ayrıntılı olarak açıklanmıştır.
Hyper-V Yöneticileri, sanallaştırılmış Etki Alanı Denetleyicileri üzerinde kontrol sağlamak için kullanılabilecek Hyper-V'ye tam erişime sahiptir. Bu, canlı DC'leri klonlamayı ve NTDS.dit dosyasından NTLM hash'lerini çıkarmayı içerir.
Firefox'un Mozilla Bakım Servisi, Hyper-V Yöneticileri tarafından SYSTEM olarak komut çalıştırmak için sömürülebilir. Bu, korunan bir SYSTEM dosyasına sert bir bağlantı oluşturarak ve bunu kötü niyetli bir çalıştırılabilir dosya ile değiştirmeyi içerir:
Not: Sabit bağlantı istismarı, son Windows güncellemeleriyle azaltılmıştır.
Microsoft Exchange'in kurulu olduğu ortamlarda, Organizasyon Yönetimi olarak bilinen özel bir grup önemli yetkilere sahiptir. Bu grup, tüm etki alanı kullanıcılarının posta kutularına erişim hakkına sahiptir ve 'Microsoft Exchange Güvenlik Grupları' Organizasyonel Birimi (OU) üzerinde tam kontrol sağlar. Bu kontrol, ayrıcalık yükseltmesi için istismar edilebilecek Exchange Windows Permissions
grubunu içerir.
Yazdırma Operatörleri grubunun üyeleri, SeLoadDriverPrivilege
dahil olmak üzere birkaç ayrıcalıkla donatılmıştır; bu, onlara bir Etki Alanı Denetleyicisi'ne yerel olarak giriş yapma, onu kapatma ve yazıcıları yönetme yetkisi verir. Bu ayrıcalıkları istismar etmek için, özellikle SeLoadDriverPrivilege
yükseltilmemiş bir bağlamda görünmüyorsa, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak gereklidir.
Bu grubun üyelerini listelemek için aşağıdaki PowerShell komutu kullanılır:
Daha ayrıntılı istismar teknikleri için SeLoadDriverPrivilege
ile ilgili olarak, belirli güvenlik kaynaklarına başvurulmalıdır.
Bu grubun üyelerine Uzak Masaüstü Protokolü (RDP) aracılığıyla PC'lere erişim izni verilir. Bu üyeleri listelemek için PowerShell komutları mevcuttur:
Daha fazla bilgi, RDP'yi istismar etme konusunda özel pentesting kaynaklarında bulunabilir.
Üyeler, Windows Uzaktan Yönetimi (WinRM) üzerinden PC'lere erişebilir. Bu üyelerin sayımı şu şekilde gerçekleştirilir:
WinRM ile ilgili istismar teknikleri için belirli belgeler incelenmelidir.
Bu grup, Yedekleme ve geri yükleme ayrıcalıkları, sistem saatini değiştirme ve sistemi kapatma dahil olmak üzere Etki Alanı Denetleyicileri üzerinde çeşitli yapılandırmalar gerçekleştirme izinlerine sahiptir. Üyeleri listelemek için verilen komut:
Dünyanın en gelişmiş topluluk araçlarıyla desteklenen iş akışlarını kolayca oluşturmak ve otomatikleştirmek için Trickest kullanın. Bugün Erişim Alın:
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)