Privileged Groups
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Використовуйте Trickest для легкого створення та автоматизації робочих процесів, підтримуваних найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Адміністратори
Адміністратори домену
Адміністратори підприємства
Ця група має право створювати облікові записи та групи, які не є адміністраторами домену. Крім того, вона дозволяє локальний вхід до контролера домену (DC).
Щоб ідентифікувати членів цієї групи, виконується наступна команда:
Додавання нових користувачів дозволено, а також локальний вхід до DC01.
Список контролю доступу (ACL) групи AdminSDHolder є критично важливим, оскільки він встановлює дозволи для всіх "захищених груп" в Active Directory, включаючи групи з високими привілеями. Цей механізм забезпечує безпеку цих груп, запобігаючи несанкціонованим змінам.
Зловмисник може скористатися цим, змінивши ACL групи AdminSDHolder, надаючи повні дозволи стандартному користувачу. Це фактично надасть цьому користувачу повний контроль над усіма захищеними групами. Якщо дозволи цього користувача будуть змінені або видалені, вони будуть автоматично відновлені протягом години через дизайн системи.
Команди для перегляду учасників і зміни дозволів включають:
Скрипт доступний для прискорення процесу відновлення: Invoke-ADSDPropagation.ps1.
Для отримання додаткової інформації відвідайте ired.team.
Членство в цій групі дозволяє читати видалені об'єкти Active Directory, що може розкрити чутливу інформацію:
Доступ до файлів на DC обмежений, якщо користувач не є частиною групи Server Operators
, що змінює рівень доступу.
Використовуючи PsService
або sc
з Sysinternals, можна перевіряти та змінювати дозволи на служби. Група Server Operators
, наприклад, має повний контроль над певними службами, що дозволяє виконувати довільні команди та підвищувати привілеї:
Ця команда показує, що Server Operators
мають повний доступ, що дозволяє маніпулювати службами для підвищених привілеїв.
Членство в групі Backup Operators
надає доступ до файлової системи DC01
завдяки привілеям SeBackup
та SeRestore
. Ці привілеї дозволяють проходження по папках, їх перелік та копіювання файлів, навіть без явних дозволів, використовуючи прапорець FILE_FLAG_BACKUP_SEMANTICS
. Для цього процесу необхідно використовувати специфічні скрипти.
Щоб перерахувати членів групи, виконайте:
Щоб використовувати ці привілеї локально, застосовуються наступні кроки:
Імпортуйте необхідні бібліотеки:
Увімкніть та перевірте SeBackupPrivilege
:
Доступ і копіювання файлів з обмежених каталогів, наприклад:
Прямий доступ до файлової системи контролера домену дозволяє вкрасти базу даних NTDS.dit
, яка містить всі NTLM хеші для користувачів та комп'ютерів домену.
Створіть тіньову копію диска C
:
Скопіюйте NTDS.dit
з тіньової копії:
Альтернативно, використовуйте robocopy
для копіювання файлів:
Витягніть SYSTEM
та SAM
для отримання хешів:
Отримати всі хеші з NTDS.dit
:
Налаштуйте файлову систему NTFS для SMB-сервера на машині атакуючого та кешуйте облікові дані SMB на цільовій машині.
Використовуйте wbadmin.exe
для резервного копіювання системи та витягування NTDS.dit
:
Для практичної демонстрації дивіться ДЕМО ВІДЕО З IPPSEC.
Члени групи DnsAdmins можуть використовувати свої привілеї для завантаження довільного DLL з привілеями SYSTEM на DNS-сервері, який часто розміщується на контролерах домену. Ця можливість дозволяє значний потенціал для експлуатації.
Щоб перерахувати членів групи DnsAdmins, використовуйте:
Члени можуть змусити DNS-сервер завантажити довільний DLL (як локально, так і з віддаленого ресурсу) за допомогою команд, таких як:
Перезапуск служби DNS (який може вимагати додаткових дозволів) є необхідним для завантаження DLL:
Для отримання додаткової інформації про цей вектор атаки зверніться до ired.team.
Також можливо використовувати mimilib.dll для виконання команд, модифікуючи його для виконання конкретних команд або реверсних шелів. Перегляньте цей пост для отримання додаткової інформації.
DnsAdmins можуть маніпулювати DNS записами для виконання атак Man-in-the-Middle (MitM), створюючи WPAD запис після вимкнення глобального списку блокування запитів. Інструменти, такі як Responder або Inveigh, можуть бути використані для спуфінгу та захоплення мережевого трафіку.
Члени можуть отримувати доступ до журналів подій, потенційно знаходячи чутливу інформацію, таку як паролі в чистому вигляді або деталі виконання команд:
Ця група може змінювати DACL на об'єкті домену, потенційно надаючи привілеї DCSync. Техніки ескалації привілеїв, що використовують цю групу, детально описані в репозиторії Exchange-AD-Privesc на GitHub.
Hyper-V Адміністратори мають повний доступ до Hyper-V, що може бути використано для отримання контролю над віртуалізованими Контролерами Домену. Це включає клонування живих КД і витягування NTLM хешів з файлу NTDS.dit.
Службу обслуговування Mozilla Firefox можна експлуатувати адміністраторами Hyper-V для виконання команд від імені SYSTEM. Це передбачає створення жорсткого посилання на захищений файл SYSTEM і заміну його на шкідливий виконуваний файл:
Note: Використання жорстких посилань було зменшено в останніх оновленнях Windows.
В середовищах, де розгорнуто Microsoft Exchange, спеціальна група, відома як Управління організацією, має значні можливості. Ця група має привілей доступу до поштових скриньок усіх користувачів домену та підтримує повний контроль над 'Microsoft Exchange Security Groups' Організаційною одиницею (OU). Цей контроль включає групу Exchange Windows Permissions
, яка може бути використана для ескалації привілеїв.
Члени групи Оператори друку наділені кількома привілеями, включаючи SeLoadDriverPrivilege
, що дозволяє їм локально входити в систему на Контролері домену, вимикати його та керувати принтерами. Щоб експлуатувати ці привілеї, особливо якщо SeLoadDriverPrivilege
не видно в умовах без підвищення привілеїв, необхідно обійти Контроль облікових записів користувачів (UAC).
Щоб перерахувати членів цієї групи, використовується наступна команда PowerShell:
Для більш детальних технік експлуатації, пов'язаних з SeLoadDriverPrivilege
, слід звернутися до конкретних ресурсів безпеки.
Членам цієї групи надається доступ до ПК через протокол віддаленого робочого столу (RDP). Для перерахунку цих членів доступні команди PowerShell:
Додаткову інформацію про експлуатацію RDP можна знайти в спеціалізованих ресурсах для пентестингу.
Члени можуть отримувати доступ до ПК через Windows Remote Management (WinRM). Перерахування цих членів досягається через:
Для технік експлуатації, пов'язаних з WinRM, слід звернутися до конкретної документації.
Ця група має дозволи на виконання різних налаштувань на контролерах домену, включаючи привілеї резервного копіювання та відновлення, зміну системного часу та вимкнення системи. Щоб перерахувати учасників, використовується наступна команда:
Використовуйте Trickest, щоб легко створювати та автоматизувати робочі процеси, які підтримуються найсучаснішими інструментами спільноти. Отримайте доступ сьогодні:
Вивчайте та практикуйте Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)