Privileged Groups
Відомі групи з адміністративними привілеями
Адміністратори
Адміністратори домену
Адміністратори підприємства
Оператори облікових записів
Ця група має право створювати облікові записи та групи, які не є адміністраторами домену. Крім того, вона дозволяє локальний вхід до контролера домену (DC).
Щоб визначити членів цієї групи, виконується наступна команда:
Додавання нових користувачів дозволено, а також локальний вхід до DC01.
Група AdminSDHolder
Список контролю доступу (ACL) групи AdminSDHolder є критично важливим, оскільки він встановлює дозволи для всіх "захищених груп" в Active Directory, включаючи групи з високими привілеями. Цей механізм забезпечує безпеку цих груп, запобігаючи несанкціонованим змінам.
Зловмисник може скористатися цим, змінивши ACL групи AdminSDHolder, надаючи повні дозволи стандартному користувачу. Це фактично надасть цьому користувачу повний контроль над усіма захищеними групами. Якщо дозволи цього користувача будуть змінені або видалені, вони будуть автоматично відновлені протягом години через дизайн системи.
Команди для перегляду учасників і зміни дозволів включають:
Скрипт доступний для прискорення процесу відновлення: Invoke-ADSDPropagation.ps1.
Для отримання додаткової інформації відвідайте ired.team.
AD Recycle Bin
Членство в цій групі дозволяє читати видалені об'єкти Active Directory, що може розкрити чутливу інформацію:
Доступ до контролера домену
Доступ до файлів на DC обмежений, якщо користувач не є частиною групи Server Operators
, що змінює рівень доступу.
Підвищення привілеїв
Використовуючи PsService
або sc
з Sysinternals, можна перевіряти та змінювати дозволи на служби. Група Server Operators
, наприклад, має повний контроль над певними службами, що дозволяє виконувати довільні команди та підвищувати привілеї:
Ця команда показує, що Server Operators
мають повний доступ, що дозволяє маніпулювати службами для підвищення привілеїв.
Backup Operators
Членство в групі Backup Operators
надає доступ до файлової системи DC01
завдяки привілеям SeBackup
та SeRestore
. Ці привілеї дозволяють проходження по папках, їх перелік та копіювання файлів, навіть без явних дозволів, використовуючи прапорець FILE_FLAG_BACKUP_SEMANTICS
. Для цього процесу необхідно використовувати специфічні скрипти.
Щоб перерахувати членів групи, виконайте:
Local Attack
Щоб використовувати ці привілеї локально, застосовуються наступні кроки:
Імпортуйте необхідні бібліотеки:
Увімкніть та перевірте
SeBackupPrivilege
:
Доступ і копіювання файлів з обмежених каталогів, наприклад:
AD Attack
Прямий доступ до файлової системи контролера домену дозволяє вкрасти базу даних NTDS.dit
, яка містить всі NTLM хеші для користувачів та комп'ютерів домену.
Using diskshadow.exe
Створіть тіньову копію диска
C
:
Скопіюйте
NTDS.dit
з тіньової копії:
Альтернативно, використовуйте robocopy
для копіювання файлів:
Витягніть
SYSTEM
таSAM
для отримання хешів:
Отримати всі хеші з
NTDS.dit
:
Використання wbadmin.exe
Налаштуйте файлову систему NTFS для SMB-сервера на машині атакуючого та кешуйте облікові дані SMB на цільовій машині.
Використовуйте
wbadmin.exe
для резервного копіювання системи та витягуванняNTDS.dit
:
Для практичної демонстрації дивіться ВІДЕО ДЕМО З IPPSEC.
DnsAdmins
Члени групи DnsAdmins можуть використовувати свої привілеї для завантаження довільного DLL з привілеями SYSTEM на DNS-сервері, який часто розміщується на контролерах домену. Ця можливість дозволяє значний потенціал для експлуатації.
Щоб перерахувати членів групи DnsAdmins, використовуйте:
Виконати довільний DLL
Члени можуть змусити DNS-сервер завантажити довільний DLL (як локально, так і з віддаленого ресурсу) за допомогою команд, таких як:
Перезапуск служби DNS (який може вимагати додаткових дозволів) є необхідним для завантаження DLL:
Для отримання додаткової інформації про цей вектор атаки зверніться до ired.team.
Mimilib.dll
Також можливо використовувати mimilib.dll для виконання команд, модифікувавши його для виконання конкретних команд або реверсних шелів. Перегляньте цей пост для отримання додаткової інформації.
WPAD запис для MitM
DnsAdmins можуть маніпулювати DNS записами для виконання атак Man-in-the-Middle (MitM), створюючи WPAD запис після вимкнення глобального списку блокування запитів. Інструменти, такі як Responder або Inveigh, можуть бути використані для спуфінгу та захоплення мережевого трафіку.
Читачі журналів подій
Члени можуть отримувати доступ до журналів подій, потенційно знаходячи чутливу інформацію, таку як паролі в чистому вигляді або деталі виконання команд:
Exchange Windows Permissions
Ця група може змінювати DACL на об'єкті домену, потенційно надаючи привілеї DCSync. Техніки ескалації привілеїв, що використовують цю групу, детально описані в репозиторії Exchange-AD-Privesc на GitHub.
Hyper-V Адміністратори
Hyper-V Адміністратори мають повний доступ до Hyper-V, що може бути використано для отримання контролю над віртуалізованими Контролерами Домену. Це включає клонування живих DC та витягування NTLM хешів з файлу NTDS.dit.
Приклад експлуатації
Службу обслуговування Mozilla Firefox можна експлуатувати адміністраторами Hyper-V для виконання команд від імені SYSTEM. Це передбачає створення жорсткого посилання на захищений файл SYSTEM і заміну його на шкідливий виконуваний файл:
Note: Використання жорстких посилань було зменшено в останніх оновленнях Windows.
Управління організацією
В середовищах, де розгорнуто Microsoft Exchange, спеціальна група, відома як Управління організацією, має значні можливості. Ця група має привілей доступу до поштових скриньок усіх користувачів домену та підтримує повний контроль над 'Microsoft Exchange Security Groups' Організаційною одиницею (OU). Цей контроль включає групу Exchange Windows Permissions
, яка може бути використана для ескалації привілеїв.
Експлуатація привілеїв та команди
Оператори друку
Члени групи Оператори друку наділені кількома привілеями, включаючи SeLoadDriverPrivilege
, що дозволяє їм локально входити в систему на Контролері домену, вимикати його та керувати принтерами. Щоб експлуатувати ці привілеї, особливо якщо SeLoadDriverPrivilege
не видно в умовах без підвищення привілеїв, необхідно обійти Контроль облікових записів користувачів (UAC).
Щоб перерахувати членів цієї групи, використовується наступна команда PowerShell:
Для більш детальних технік експлуатації, пов'язаних з SeLoadDriverPrivilege
, слід звернутися до конкретних ресурсів безпеки.
Користувачі віддаленого робочого столу
Членам цієї групи надається доступ до ПК через протокол віддаленого робочого столу (RDP). Для перерахунку цих членів доступні команди PowerShell:
Додаткову інформацію про експлуатацію RDP можна знайти в спеціалізованих ресурсах з пентестингу.
Користувачі віддаленого управління
Члени можуть отримувати доступ до ПК через Windows Remote Management (WinRM). Перерахування цих членів досягається через:
Для технік експлуатації, пов'язаних з WinRM, слід звертатися до конкретної документації.
Оператори серверів
Ця група має дозволи на виконання різних налаштувань на контролерах домену, включаючи привілеї резервного копіювання та відновлення, зміну системного часу та вимкнення системи. Щоб перерахувати учасників, використовується наступна команда:
References
Last updated