Privileged Groups
Yönetim ayrıcalıklarına sahip iyi bilinen gruplar
Yönetici
Alan Yöneticileri
Kurumsal Yöneticiler
Hesap Operatörleri
Bu grup, alan üzerindeki yönetici olmayan hesaplar ve gruplar oluşturma yetkisine sahiptir. Ayrıca, Alan Denetleyicisi'ne (DC) yerel giriş yapılmasını sağlar.
Bu grubun üyelerini tanımlamak için aşağıdaki komut çalıştırılır:
Yeni kullanıcı eklemek ve DC01'e yerel giriş yapmak mümkündür.
AdminSDHolder grubu
AdminSDHolder grubunun Erişim Kontrol Listesi (ACL), Active Directory içindeki tüm "korunan gruplar" için izinleri belirlediğinden kritik öneme sahiptir; bu gruplar arasında yüksek ayrıcalıklı gruplar da bulunmaktadır. Bu mekanizma, yetkisiz değişiklikleri önleyerek bu grupların güvenliğini sağlar.
Bir saldırgan, AdminSDHolder grubunun ACL'sini değiştirerek standart bir kullanıcıya tam izinler verebilir. Bu, o kullanıcıya tüm korunan gruplar üzerinde tam kontrol sağlamış olur. Eğer bu kullanıcının izinleri değiştirilir veya kaldırılırsa, sistemin tasarımı gereği bir saat içinde otomatik olarak geri yüklenir.
Üyeleri gözden geçirmek ve izinleri değiştirmek için kullanılan komutlar şunlardır:
Bir script, geri yükleme sürecini hızlandırmak için mevcuttur: Invoke-ADSDPropagation.ps1.
Daha fazla bilgi için ired.team adresini ziyaret edin.
AD Geri Dönüşüm Kutusu
Bu gruba üyelik, silinmiş Active Directory nesnelerinin okunmasına izin verir, bu da hassas bilgileri ortaya çıkarabilir:
Domain Controller Erişimi
DC üzerindeki dosyalara erişim, kullanıcı Server Operators
grubunun bir parçası değilse kısıtlıdır, bu da erişim seviyesini değiştirir.
Yetki Yükseltme
Sysinternals'tan PsService
veya sc
kullanarak, hizmet izinlerini inceleyip değiştirmek mümkündür. Örneğin, Server Operators
grubu belirli hizmetler üzerinde tam kontrole sahiptir, bu da keyfi komutların yürütülmesine ve yetki yükseltmeye olanak tanır:
Bu komut, Server Operators
grubunun tam erişime sahip olduğunu ve yükseltilmiş ayrıcalıklar için hizmetlerin manipülasyonunu sağladığını ortaya koyar.
Yedek Operatörleri
Backup Operators
grubuna üyelik, SeBackup
ve SeRestore
ayrıcalıkları nedeniyle DC01
dosya sistemine erişim sağlar. Bu ayrıcalıklar, açık izinler olmadan bile, FILE_FLAG_BACKUP_SEMANTICS
bayrağını kullanarak klasör geçişi, listeleme ve dosya kopyalama yeteneklerini etkinleştirir. Bu süreç için belirli betiklerin kullanılması gereklidir.
Grup üyelerini listelemek için şunu çalıştırın:
Yerel Saldırı
Bu ayrıcalıkları yerel olarak kullanmak için aşağıdaki adımlar uygulanır:
Gerekli kütüphaneleri içe aktarın:
SeBackupPrivilege
'i etkinleştir ve doğrula:
Kısıtlı dizinlerden dosyaları erişim ve kopyalama, örneğin:
AD Saldırısı
Domain Controller'ın dosya sistemine doğrudan erişim, alan kullanıcıları ve bilgisayarları için tüm NTLM hash'lerini içeren NTDS.dit
veritabanının çalınmasına olanak tanır.
diskshadow.exe Kullanarak
C
sürücüsünün bir gölge kopyasını oluşturun:
NTDS.dit
dosyasını yedek kopyadan kopyalayın:
Alternatif olarak, dosya kopyalamak için robocopy
kullanın:
Hash alımı için
SYSTEM
veSAM
'i çıkarın:
NTDS.dit
dosyasındaki tüm hash'leri al:
Using wbadmin.exe
Saldırı makinesinde SMB sunucusu için NTFS dosya sistemini ayarlayın ve hedef makinede SMB kimlik bilgilerini önbelleğe alın.
Sistem yedeği ve
NTDS.dit
çıkarımı içinwbadmin.exe
kullanın:
Pratik bir gösterim için DEMO VIDEO WITH IPPSEC bağlantısına bakın.
DnsAdmins
DnsAdmins grubunun üyeleri, DNS sunucusunda (genellikle Alan Denetleyicileri üzerinde barındırılır) SYSTEM ayrıcalıklarıyla rastgele bir DLL yüklemek için ayrıcalıklarını kullanabilirler. Bu yetenek, önemli bir istismar potansiyeli sağlar.
DnsAdmins grubunun üyelerini listelemek için:
Rastgele DLL Yürüt
Üyeler, DNS sunucusunun rastgele bir DLL'yi (yerel veya uzaktan bir paylaşımdan) yüklemesini sağlamak için şu komutları kullanabilir:
DNS hizmetinin yeniden başlatılması (bu ek izinler gerektirebilir) DLL'nin yüklenmesi için gereklidir:
For more details on this attack vector, refer to ired.team.
Mimilib.dll
Aynı zamanda, belirli komutları veya ters kabukları çalıştırmak için mimilib.dll kullanmak da mümkündür. Bu gönderiyi kontrol edin daha fazla bilgi için.
WPAD Kaydı için MitM
DnsAdmins, global sorgu engelleme listesini devre dışı bıraktıktan sonra bir WPAD kaydı oluşturarak DNS kayıtlarını manipüle ederek Man-in-the-Middle (MitM) saldırıları gerçekleştirebilir. Responder veya Inveigh gibi araçlar, sahtecilik yapmak ve ağ trafiğini yakalamak için kullanılabilir.
Event Log Readers
Üyeler, düz metin şifreler veya komut yürütme detayları gibi hassas bilgilere ulaşarak olay günlüklerine erişebilirler:
Exchange Windows İzinleri
Bu grup, alan nesnesi üzerindeki DACL'leri değiştirebilir ve potansiyel olarak DCSync ayrıcalıkları verebilir. Bu grubun istismar edilerek ayrıcalık yükseltme teknikleri, Exchange-AD-Privesc GitHub deposunda ayrıntılı olarak açıklanmıştır.
Hyper-V Yöneticileri
Hyper-V Yöneticileri, sanallaştırılmış Etki Alanı Denetleyicileri üzerinde kontrol sağlamak için kullanılabilecek Hyper-V'ye tam erişime sahiptir. Bu, canlı DC'leri klonlamayı ve NTDS.dit dosyasından NTLM hash'lerini çıkarmayı içerir.
Sömürü Örneği
Firefox'un Mozilla Bakım Servisi, Hyper-V Yöneticileri tarafından SYSTEM olarak komut çalıştırmak için sömürülebilir. Bu, korumalı bir SYSTEM dosyasına sert bir bağlantı oluşturarak ve bunu kötü niyetli bir çalıştırılabilir dosya ile değiştirerek gerçekleştirilir:
Note: Hard link exploitation has been mitigated in recent Windows updates.
Organization Management
Microsoft Exchange'in kurulu olduğu ortamlarda, Organization Management olarak bilinen özel bir grup önemli yetkilere sahiptir. Bu grup, tüm alan kullanıcılarının posta kutularına erişim hakkına sahiptir ve 'Microsoft Exchange Güvenlik Grupları' Organizasyonel Birimi (OU) üzerinde tam kontrol sağlar. Bu kontrol, ayrıcalık yükseltmesi için istismar edilebilecek Exchange Windows Permissions
grubunu içerir.
Privilege Exploitation and Commands
Print Operators
Print Operators grubunun üyeleri, SeLoadDriverPrivilege
dahil olmak üzere birkaç ayrıcalıkla donatılmıştır; bu, onlara bir Alan Denetleyicisine yerel olarak giriş yapma, onu kapatma ve yazıcıları yönetme yetkisi verir. Bu ayrıcalıkları istismar etmek için, özellikle SeLoadDriverPrivilege
yükseltilmemiş bir bağlamda görünmüyorsa, Kullanıcı Hesabı Denetimi'ni (UAC) atlamak gereklidir.
Bu grubun üyelerini listelemek için aşağıdaki PowerShell komutu kullanılır:
Daha ayrıntılı istismar teknikleri için SeLoadDriverPrivilege
ile ilgili olarak, belirli güvenlik kaynaklarına başvurulmalıdır.
Uzak Masaüstü Kullanıcıları
Bu grubun üyelerine Uzak Masaüstü Protokolü (RDP) aracılığıyla PC'lere erişim izni verilir. Bu üyeleri listelemek için PowerShell komutları mevcuttur:
Daha fazla bilgi, RDP'yi istismar etme konusunda özel pentesting kaynaklarında bulunabilir.
Uzaktan Yönetim Kullanıcıları
Üyeler, Windows Uzaktan Yönetimi (WinRM) üzerinden PC'lere erişebilir. Bu üyelerin sayımı şu şekilde gerçekleştirilir:
For exploitation techniques related to WinRM, specific documentation should be consulted.
Sunucu Operatörleri
Bu grup, Yedekleme ve Geri Yükleme ayrıcalıkları, sistem saatini değiştirme ve sistemi kapatma dahil olmak üzere Etki Alanı Denetleyicileri üzerinde çeşitli yapılandırmalar gerçekleştirme izinlerine sahiptir. Üyeleri listelemek için verilen komut:
References
Last updated